Một nhóm tội phạm mạng có động cơ tài chính có tên là “Diesel Vortex” đang đánh cắp thông tin đăng nhập của các nhà điều hành vận tải và logistics ở Mỹ cũng như châu Âu, thông qua các cuộc tấn công lừa đảo (phishing) sử dụng 52 tên miền.
Các nhà nghiên cứu tại nền tảng giám sát Have I Been Squatted đã phát hiện ra chiến dịch này, sau khi tìm thấy một kho lưu trữ bị rò rỉ chứa cơ sở dữ liệu SQL từ một dự án lừa đảo mà kẻ tấn công đặt tên là Global Profit và tiếp thị nó cho tội phạm mạng dưới tên gọi MC Profit Always. Những nỗ lực phân tích của Have I Been Squatted được hỗ trợ bởi nhà cung cấp cơ sở hạ tầng tokenization Ctrl-Alt-Intel
Đáng chú ý, kho lưu trữ này cũng bao gồm một tệp chứa nhật ký webhook của Telegram, tiết lộ các cuộc liên lạc giữa những kẻ điều hành dịch vụ lừa đảo. Dựa trên ngôn ngữ được sử dụng, các nhà nghiên cứu nhận định rằng Diesel Vortex là một nhóm tin tặc nói tiếng Armenia có liên kết với cơ sở hạ tầng của Nga. Trong một báo cáo kỹ thuật gần đây, Have I Been Squatted cho biết họ phát hiện gần 3.500 cặp thông tin đăng nhập bị đánh cắp.
.png)
Số lượng thông tin đăng nhập bị đánh cắp bởi Diesel Vortex
Have I Been Squatted chia sẻ thêm, họ tìm thấy mối liên hệ giữa các cuộc tấn công với bản đồ mindmap do một thành viên của Diesel Vortex tạo ra, mô tả một “hoạt động được tổ chức rất bài bản”, bao gồm trung tâm cuộc gọi, hỗ trợ qua mail, vai trò lập trình viên và nhân viên chịu trách nhiệm tìm kiếm tài xế, người vận chuyển và các liên hệ hậu cần. Hơn nữa, bản đồ này cung cấp thông tin chi tiết về các kênh thu hút khách hàng, trong đó có thị trường DAT One, các chiến dịch email, gian lận giá và doanh thu cho các cấp độ hoạt động khác nhau.
“Các tin tặc Diesel Vortex đã xây dựng cơ sở hạ tầng lừa đảo chuyên dụng cho các nền tảng được các nhà môi giới vận tải, công ty vận tải đường bộ và nhà điều hành chuỗi cung ứng sử dụng hàng ngày. Các bảng thông tin vận chuyển hàng hóa, cổng quản lý đội xe, hệ thống thẻ nhiên liệu và sàn giao dịch vận tải đều nằm trong tầm ngắm”, Have I Been Squatted cho biết.
Các cuộc tấn công bắt đầu bằng việc gửi email độc hại đến các mục tiêu thông qua phần mềm gửi thư của bộ công cụ lừa đảo, sử dụng Zoho SMTP và Zeptomail, kết hợp các ký tự Cyrillic đồng âm trong trường người gửi và tiêu đề để né tránh các bộ lọc bảo mật. Bên cạnh đó, các cuộc tấn công cũng sử dụng cả hình thức lừa đảo qua điện thoại và xâm nhập vào các kênh Telegram thường được nhân viên vận tải và logistics sử dụng.
Khi nạn nhân nhấp vào những liên kết độc hại, họ sẽ được chuyển đến một trang HTML tối giản trên tên miền “.com” với một iframe toàn màn hình nhúng nội dung lừa đảo, tiếp theo là quy trình che giấu (cloaking) 9 bước trên tên miền hệ thống (.top/.icu).
Các trang web lừa đảo là bản sao chính xác đến từng pixel của các nền tảng logistics mục tiêu. Tùy thuộc vào đối tượng, chúng có thể thu thập thông tin đăng nhập, dữ liệu giấy phép, số MC/DOT, thông tin đăng nhập RMIS, mã PIN, mã xác thực hai yếu tố (2FA), mã bảo mật, số tiền thanh toán, tên người nhận và số séc.
Hai trang web lừa đảo được sử dụng trong cùng một chuỗi tấn công
Quá trình tấn công diễn ra dưới sự kiểm soát trực tiếp của kẻ điều hành, người này quyết định khi nào phê duyệt các bước và kích hoạt các giai đoạn tiếp theo thông qua các bot Telegram. Các hành động có thể bao gồm yêu cầu mật khẩu cho Google, Microsoft Office 365 và Yahoo, các phương thức xác thực 2FA, chuyển hướng nạn nhân hoặc thậm chí chặn họ giữa chừng.
.png)
Tổng quan về cuộc tấn công
Các nhà nghiên cứu cho biết hoạt động của Diesel Vortex, với các tên miền giả mạo và các kho lưu trữ GitLab, đã bị gián đoạn sau một hành động phối hợp chung giữa GitLab, Cloudflare, Google Threat Intelligence, CrowdStrike và Microsoft Threat Intelligence Center.
Về phía mình, Ctrl-Alt-Intel đã tiến hành một cuộc điều tra OSINT bắt đầu từ các cuộc trò chuyện Telegram bằng tiếng Armenia của các đối tượng điều hành, về việc đánh cắp hàng hóa hoặc tiền bạc và một địa chỉ email.
Cùng với tên miền được tìm thấy trong mã nguồn của bảng điều khiển công cụ, các nhà nghiên cứu đã phát hiện ra mối liên hệ với các cá nhân và công ty ở Nga tham gia vào hoạt động thương mại bán buôn, vận tải và kho bãi. Dựa trên các bằng chứng thu thập được, Diesel Vortex đã đánh cắp thông tin đăng nhập và phối hợp các hoạt động liên quan đến mạo danh vận chuyển hàng hóa, xâm phạm hộp thư điện tử hoặc chuyển hướng hàng hóa.
Các chỉ báo đầy đủ về sự xâm phạm (IoC), bao gồm mạng, Telegram, cơ sở hạ tầng, email và địa chỉ tiền điện tử, đều có sẵn ở cuối báo cáo Have I Been Squatted. Quý độc giả có thể theo dõi thông tin chi tiết tại đây.
