Атака на грузоперевозчиков: злоумышленники месяцами скрывались в системах для кражи денег и топлива

Инцидент начался в конце февраля 2026 года, когда специалисты Proofpoint намеренно активировали вредоносную полезную нагрузку в защищённой среде, предоставленной партнёрами из Deception.pro. Хотя эта среда не имитировала реальную транспортную компанию, злоумышленник поддерживал в ней доступ свыше месяца. Это дало исследователям беспрецедентно долгое окно для наблюдения за инструментарием, скриптами и логикой принятия решений на этапе после взлома. Ранее Proofpoint уже документировала кампании этой группы против логистических фирм, но теперь удалось изучить их действия изнутри.

Первоначальный доступ был получен через скомпрометированную грузовую биржу - онлайн-платформу для связи грузоотправителей и перевозчиков. Ответив на фиктивную заявку, система-ловушка получила по электронной почте VBS-файл. Его выполнение привело к загрузке PowerShell-скрипта, установке инструмента удалённого доступа ScreenConnect и отображению фальшивого договора для отвлечения внимания. После успешного проникновения акцент сместился на обеспечение устойчивого присутствия. В течение последующих недель злоумышленник установил четыре отдельных экземпляра ScreenConnect, а также решения для удалённого мониторинга и управления Pulseway RMM и SimpleHelp RMM. Такое дублирование функционала говорит о стратегии создания избыточности: если один инструмент будет обнаружен и удалён, доступ сохранится через другие.

Наиболее примечательным аспектом стало использование ранее неизвестного стороннего сервиса по подписи кода (signing-as-a-service). При установке четвёртого экземпляра ScreenConnect в конце марта злоумышленник задействовал двухэтапный PowerShell-скрипт. Второй этап отправлял установочный MSI-файл на внешний сервис по адресу signer[.]bulbcentral[.]com, который переподписывал его валидным, но мошенническим код-сайнинг-сертификатом на имя STEPHEN WHANG, CPA, INC. После установки скрипт дополнительно заменял ключевые компоненты ScreenConnect на переподписанные версии. Этот подход, который исследователи описали в своём отчёте, позволил атакующему обойти отзыв оригинальных сертификатов ConnectWise, подавить предупреждения системы безопасности и сохранить скрытый долгосрочный доступ, используя доверие Windows к легитимно выглядящей цифровой подписи.

С закреплённым доступом началась фаза активной разведки. Примерно через три дня после взлома оператор вручную открыл через браузер жертвы сайт PayPal. Через восемь дней с помощью ScreenConnect был выполнен скомпилированный в PyInstaller бинарный файл, предназначенный для поиска и извлечения данных криптовалютных кошельков и расширений браузеров. Однако основным инструментом рекогносцировки стал PowerShell. За время инцидента было зафиксировано выполнение не менее 13 скриптов, автоматизировавших сбор критически важной информации.

Эти скрипты перечисляли учётные записи пользователей и профили браузеров, извлекали историю посещений из Chrome, Edge, Firefox, копировали и анализировали базы данных SQLite. Их ключевой целью был поиск следов доступа к определённым финансовым и транспортным платформам. В поле зрения злоумышленников попали американские банки, системы денежных переводов, онлайн-бухгалтерия, межбанковские платёжные системы, а также узкоотраслевые сервисы: платформы для оплаты топливных карт, управления автопарком и грузовые биржи. Собранные метаданные - имя хоста, тип браузера, частота посещений целевых сайтов - выгружались на управляемые атакующим Telegram-боты для последующего анализа оператором.

Такая направленность разведки явно указывает на подготовку к преступлениям именно в транспортной сфере. Доступ к платформам оплаты топлива или управления грузопотоком может позволить перенаправить груз, списать средства со счетов перевозчика или совершить мошеннические операции с фрахтом. В конце марта атакующие запустили финальный скрипт, который через функционал ScreenConnect тихо собрал данные об установленном антивирусном ПО и наличии финансовых, налоговых и криптовалютных приложений, отправив отчёт прямо в консоль злоумышленника.

Этот длительный инцидент наглядно показывает эволюцию угроз для транспортно-логистического сектора. Группы перешли от разовых атак к созданию устойчивых точек присутствия, за которыми следует тщательная, почти рутинная разведка для идентификации возможностей финансовой наживы. Использование сервисов по легализации вредоносного кода через подпись становится новым трендом, усложняющим детектирование. Для компаний отрасли выводы очевидны: необходим усиленный мониторинг несанкционированной установки инструментов удалённого управления, подозрительной активности PowerShell и аномального поведения, связанного с посещением финансовых и отраслевых платформ из корпоративных систем.

IPv4

• 147.45.218.0

Domains

• af124i1agga.anondns.net
• nq251os.top
• officcee404.com
• screlay.amtechcomputers.net
• services-sc-files.s3.us-east-2.amazonaws.com
• signer.bulbcentral.com

URLs

• https://carrier-packets-docs.com/FREEDOM_FREIGHT_SERVICES_CARRIERS_ONBOARDING.vbs
• https://qto12q.top/pdf.ps1

SHA256

• 1f89a432471ec2efe58df788c576007d6782bbdf5b572a5fbf5da40df536c9f5
• 3dcb89430bae8d89b9879da192351506f4fdb7c67e253a27f58b3bf52101cd4c
• 7f54cf5e2beb3f1f5d2b3ba1c6a16ce1927ffecd20a9d635329b1e16cb74fb14
• 82d603c0b387116b7effdee6f361ca982c188de0c208e681e942300a0139c03f
• 8a3d6a6870b64767ad2cc9ad4db728abf08bae84726b06be6cb97faac6c14ae4
• b861e3682ca3326d6b29561e4b11f930f4a9f10e9588a3d48b09aa6c36a8ea80
• d9832d9208b2c4a34cf5220b1ebaf11f0425cf638ac67bf4669b11c80e460f58
• de30bb1e367d8c9b8b7d5e04e5178f2758157302638f81480ba018331a6f853e
• f4977bfeae2a957add1aaf01804d2de2a5a5f9f1338f719db661ac4f53528747