Уязвимость в системе контроля версий привела к раскрытию схемы фишинга как услуги, нацеленной на логистический сектор

Целевой сектор и методы атаки

Атаки были сфокусированы на критически важном, но часто упускаемом из виду с точки зрения безопасности сегменте - операционном ядре логистической отрасли. Злоумышленники создали фишинговые копии порталов, которые ежедневно используются брокерами, перевозчиками и менеджерами цепочек поставок: досок загрузок, систем управления автопарком, сетей топливных карт и грузовых бирж. Это пересечение высоких финансовых потоков и относительно низкого уровня осведомленности о киберугрозах среди конечных пользователей сделало сектор идеальной мишенью.

Для атаки использовались методы целевого и голосового фишинга, причем операторы активно внедрялись в тематические сообщества перевозчиков в Telegram. Имитируя легитимные платформы, они в реальном времени перехватывали не только логины и пароли, но и коды двухфакторной аутентификации (2FA). Полученный доступ использовался для перехвата информации о грузах (через перенаправление счетов и двойное брокерирование), кражи персональных данных и прямого хищения средств. В базе данных исследователи обнаружили 35 подтвержденных попыток мошенничества с чеками через систему EFS.

Архитектура платформы и ключевые уязвимости

Техническая инфраструктура Diesel Vortex демонстрировала высокий уровень изощренности. Платформа была построена по схеме «фишинг как услуга» под внутренним брендом «GlobalProfit» (также известным как «MC Profit Always») и использовала двухдоменную архитектуру для обхода защитных механизмов браузеров. Жертва получала письмо со ссылкой на «рекламный» домен (обычно в зоне .com), который в свою очередь загружал фактическую фишинговую страницу с «системного» домена (в зонах .top или .icu) внутри полноэкранного фрейма (iframe). Таким образом, адресная строка браузера всегда отображала «чистый» .com-адрес, даже если системный домен уже был занесен в черные списки как вредоносный.

Управление атакой происходило в реальном времени через Telegram-бота. Оператор получал уведомление о введенных жертвой данных и с помощью инлайн-кнопок в чате мог управлять ее сессией: перенаправлять на страницу фишинга почтового провайдера (Google, Microsoft, Yahoo) для кражи учетных данных электронной почты, запрашивать повторный ввод или блокировать жертву. Браузер жертвы каждую секунду опрашивал сервер, ожидая команд оператора, что делало атаку интерактивной и требовало постоянного участия злоумышленника.

Несмотря на сложную систему маскировки, включавшую девятиэтапную воронку проверок (глобальный «аварийный выключатель», фильтрацию по IP-адресам и интернет-провайдерам, анализ User-Agent, валидацию URL-параметров), группа допустила роковую ошибку. На одном из фишинговых доменов остался открытым каталог ".git" - система контроля версий, используемая разработчиками. Это позволило с помощью открытого инструмента git-dumper восстановить полный исходный код, включая конфигурационные файлы, шаблоны писем и дамп базы данных объемом 36,6 МБ от 4 февраля 2026 года. Внутри репозитория также был обнаружен файл с сырыми логами webhook-ов Telegram, который пролил свет на внутренние коммуникации и структуру группы, включая координацию на армянском языке.

Атрибуция и мотивация

Анализ артефактов указывает на русскоязычный состав ядра группы. Время коммитов в Git и метки в базе данных соответствуют часовому поясу UTC+2 до UTC+4. EXIF-метаданные графических файлов в фишинговом наборе показывают, что они были созданы в русскоязычной версии Adobe Photoshop с временной зоной Москвы (UTC+3). Язык комментариев в коде, документации по развертыванию и маркетинговые материалы для потенциальных «клиентов» также были на русском.

Мотивация группы является исключительно финансовой. Восстановленная интеллект-карта (mind map) в Xmind детализирует бизнес-модель: распределение ролей (колл-центр, поддержка, программист), каналы привлечения жертв, отслеживание доходов и планы по расширению. Платформа была построена на злоупотреблении легитимными сервисами: GitLab для хранения кода, Telegram для управления, Zoho и Zeptomail для рассылки писем. Прием платежей за подписку был настроен в криптовалютах (BTC, USDT). Все это свидетельствует о стремлении создать коммерческий киберпреступный продукт для русскоязычного андерграунда.

Рекомендации по защите

Для противодействия подобным атакам, где оператор в реальном времени может перехватывать одноразовые пароли (TOTP) и SMS-коды, эксперты рекомендуют, где это возможно, внедрять устойчивые к фишингу методы многофакторной аутентификации (MFA), такие как FIDO2/Passkey на основе аппаратных ключей безопасности. Эти методы не подвержены перехвату через фишинговые страницы.

Кроме того, необходимо внедрять фильтрацию DNS на основе актуальных данных угроз, а также осуществлять мониторинг доменных имен на предмет типосквоттинга (typosquatting) - регистрации доменов, похожих на бренды используемых платформ, с опечатками или подменой символов. Регулярная проверка подобных угроз, которую, в частности, предлагает сервис Have I Been Squatted, может стать важным элементом проактивной защиты. Осведомленность сотрудников, особенно в таких операционно-критичных отраслях, как логистика, о рисках целевого фишинга и методах социальной инженерии остается краеугольным камнем безопасности. Инцидент с Diesel Vortex наглядно показывает, что даже технически продвинутые преступные группы могут допустить фатальные ошибки в конфигурации, однако полагаться на эти ошибки как на основу защиты было бы крайне опрометчиво.

IPv4

• 193.232.228.7
• 194.226.185.40
• 213.139.195.245
• 213.209.129.148
• 213.209.158.31
• 46.232.39.202

Domains

• cargoesconvoy.icu
• cargoesconvoys.icu
• cargosconvcy.top
• centraildspatch.com
• centraildspatch.top
• centraldispatche.top
• centraldispatchfraundsclaims.com
• centraldllispatsh.top
• centroldlispatch.top
• certralldspatch.com
• certralldspatch.top
• contact-efsllc.com
• contact-timocom.com
• emgr-efsillc.top
• emgr-efsllic.com
• emgr-esfilc.com
• erngn-efsllc.com
• erngn-efsllc.top
• erngr-efsllc.top
• erngr-efsllic.icu
• ernigr-efsllc.com
• ernigr-efsllc.top
• ernigr-esfilc.com
• ernigr-esfilc.top
• errngraefsllc.top
• errngreefeslelc.top
• errngr-efsllc.top
• fraud-coxautoinc.com
• globalprofit-lpanel-abcdefghij.top
• global-timocom.com
• highrisecarriers.shop
• highwayes.com
• highwayes.top
• iam-timocom.com
• iam-timocom.top
• iamtimocomeu.com
• iamtimocomeu.top
• iam-timocorn.icu
• iarn-timocom.com
• iarn-timocom.top
• iarn-tirnocom.top
• iarn-tirnocorn.com
• iarn-tirnocorn.top
• iersrmissecured.com
• jinvestis.pro
• lpanel-bumaepxuje.top
• lpanel-bumaepxuje-iframe.top
• lpanel-kkbnukltpo.top
• parteners-girteka.com
• parteners-girteka.top
• partrers-girteka.top
• penskecarriersss.top
• pensskelogistics.top
• riersrmissecured.com
• rmisecured.com
• rmisecured.icu
• rmissecured.top
• rniissedcure.top
• rnissecure.icu
• rnytrirnorcorn.top
• rrnissecure.top
• rsrmissecured.top
• spanel-bnmlqokaxk.top
• telleroute.com
• timocomeuro.com
• timocomeuro.top
• timonocomo.top
• tirnocom.com
• trirnocom.com
• trirnocom.top
• vgirteka.com
• vvktransportservices.icu
• vvv-cargoconvoy.com
• vvvgirteka.top
• vwgirteka.top
• wgirteka.top
• wktransportservices.top
• yasomawork.space

Emails

• bamblembee@inbox.eu
• drewsblair3@gmail.com
• gmxlogisticsllc@gmail.com
• highrisellclogistics@gmail.com
• imperriallogisticsllc@gmail.com
• kutuzov068@gmail.com
• mcprogitalways@proton.me
• randy.highriselogistics@gmail.com

Telegram

• https://t.me/+01MJ1sJ8tNQyZTI6
• https://t.me/+a9Lmzy5icsI5NWMy
• https://t.me/+CG9t_-_pxcA1ZTQy
• https://t.me/+ELBqV4SRTJ40ODdi
• https://t.me/+EwTH7rQXcPplYTBi
• https://t.me/+hPvYbCv9LN8wZGZi
• https://t.me/+NAEFZJ508o9hNWMy
• https://t.me/+Re6AjUh0RNg2ZmUy

Blockchain Address

• 0xca93eb60c288ee1b7ad644a19965891b3d8251bf
• 0x5c245F073Dc01B2F40807E1e77bac709b3c97453
• bc1qu0t3fvn8yvf6fv2xaq3x5udh2zkd3tvtkta5gc
• 0x904fde9bb36fc1b670e2409a9ef1f3e143167706

GitLab repository

• git@gitlab.com:global-profit-team/src/globalprofit_panel.git

GitLab group

• global-profit-team