Финансово мотивированная группировка Diesel Vortex использует фишинг через 52 домена для кражи учетных данных у операторов грузоперевозок в США и Европе. Злоумышленники нацелены на критически важные логистические платформы, похищая данные с помощью изощренных методов, включая гомоглифы и Telegram-ботов. — bleepingcomputer.com
Финансово мотивированная хакерская группировка под названием «Дизель Вортекс» (Diesel Vortex) похищает учетные данные у операторов грузоперевозок и логистических компаний в США и Европе в ходе фишинговых атак с использованием 52 доменов.
В рамках кампании, которая ведется с сентября 2025 года, злоумышленник похитил 1649 уникальных учетных записей с платформ и у поставщиков услуг, критически важных для индустрии грузоперевозок.
Среди жертв Diesel Vortex — DAT Truckstop, TIMOCOM, Teleroute, Penske Logistics, Girteka и Electronic Funds Source (EFS).
Исследователи из платформы мониторинга тайпосквоттинга Have I Been Squatted обнаружили эту кампанию после того, как нашли открытый репозиторий, содержащий SQL-базу данных фишингового проекта, который злоумышленник назвал Global Profit, а другим киберпреступникам продвигал под именем MC Profit Always.
Репозиторий также включал файл с логами вебхуков Telegram, раскрывающими переписку операторов фишингового сервиса. Судя по используемому языку, исследователи полагают, что Diesel Vortex — это армяноязычный субъект, связанный с российской инфраструктурой.
К аналитическим усилиям Have I Been Squatted присоединился поставщик токенизационной инфраструктуры Ctrl-Alt-Intel, который с помощью разведки на основе открытых источников (OSINT) установил связь между операторами, инфраструктурой и контактами в различных компаниях.
В подробном техническом отчете провайдер защиты от тайпосквоттинга заявляет, что обнаружил почти 3500 пар похищенных учетных данных, из которых 1649 оказались уникальными.
Исследователи сообщают, что также обнаружили ссылку на интеллект-карту, созданную членом группы, которая описывает «высокоорганизованную операцию» с колл-центром, почтовой поддержкой, ролями программистов и сотрудниками, отвечающими за поиск водителей, перевозчиков и контактов в логистике.
Кроме того, карта содержала подробную информацию о каналах приобретения, включая маркетплейс DAT One, электронные рассылки, мошенничество с подтверждением тарифов и доходы для различных операционных уровней.
«Группа [Diesel Vortex] создала специализированную фишинговую инфраструктуру для платформ, ежедневно используемых экспедиторами, транспортными компаниями и операторами цепочек поставок. В сферу охвата попали доски объявлений о грузах, порталы управления автопарком, системы топливных карт и биржи грузоперевозок», — заявляют исследователи Have I Been Squatted в своем отчете.
«Эти платформы находятся на пересечении больших объемов транзакций, а целевая рабочая сила обычно не является основным объектом программ корпоративной безопасности, и операторы явно это знали».
Атаки включают отправку фишинговых писем целям через почтовый сервис фишингового комплекта с использованием Zoho SMTP и Zeptomail, а также применение трюков с кириллическими гомоглифами в полях отправителя и темы для обхода систем безопасности.
В атаках также использовались голосовой фишинг и проникновение в Telegram-каналы, популярные среди сотрудников транспортной и логистической отраслей.
Когда жертва переходит по фишинговой ссылке, она попадает на минималистичную HTML-страницу на домене «.com» с полноэкранным iframe, который загружает фишинговый контент, после чего следует 9-этапный процесс обфускации на системном домене (.top/.icu).
Фишинговые страницы являются попиксельными клонами целевых логистических платформ. В зависимости от цели они могут запрашивать учетные данные, разрешения на доступ к данным, номера MC/DOT, данные для входа в RMIS, PIN-коды, коды двухфакторной аутентификации, токены безопасности, суммы платежей, имена получателей и номера чеков.
Фишинговый процесс находится под прямым контролем оператора, который решает, когда одобрить шаги и активировать следующие фазы через ботов в Telegram.
Возможные действия включают запрос пароля для Google, Microsoft Office 365 и Yahoo, методы 2FA, перенаправление жертвы или даже блокировку ее в середине сеанса.
Исследователи заявляют, что операция Diesel Vortex, включая домены панелей управления и фишинга, а также репозитории GitLab, была пресечена в результате скоординированных действий с участием GitLab, Cloudflare, Google Threat Intelligence, CrowdStrike и Microsoft Threat Intelligence Center.
Со своей стороны, Ctrl-Alt-Intel провела OSINT-расследование, начав с чатов операторов в Telegram на армянском языке о краже грузов или средств, а также с одного адреса электронной почты.
Наряду с доменным именем, найденным в исходном коде фишинговой панели, исследователи выявили связи с частными лицами и компаниями в России, занимающимися оптовой торговлей, транспортировкой и складским хранением.
Исследователи отметили, что «тот же адрес электронной почты, использованный для регистрации фишинговой инфраструктуры, фигурирует в [российских] корпоративных документах логистических компаний, работающих в том же секторе, на который нацелена Diesel Vortex».
На основании собранных доказательств исследователи установили, что Diesel Vortex не только похищала учетные данные, но и координировала действия, связанные с выдачей себя за грузоперевозчиков, компрометацией почтовых ящиков и двойным брокериджем (double-brokering) или перенаправлением грузов.
Двойной брокеридж относится к использованию украденных учетных данных перевозчика для бронирования грузов с последующим переназначением или перенаправлением груза, что позволяет отправить товары на мошеннические пункты выдачи с целью их кражи.
Полный перечень индикаторов компрометации (IoC), включая сетевые данные, данные Telegram, инфраструктуру, электронную почту и адреса криптовалют, доступен в конце отчета Have I Been Squatted.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas