Proofpoint的研究人员最近发现了一起针对北美运输和物流公司的网络攻击活动。这些攻击活动利用了被入侵的合法电子邮件账户，并通过定制的社会工程技术向目标公司发送恶意软件。这些攻击活动自2024年5月以来一直在进行，主要针对运输和物流行业。

攻击者通过入侵运输和物流公司的合法电子邮件账户，将恶意内容注入到现有的电子邮件对话中，使得这些邮件看起来非常真实。Proofpoint已经确认至少有15个被入侵的电子邮件账户被用于这些攻击活动。这些攻击活动主要通过Google Drive的URL链接或直接附加的.URL文件来传播恶意软件。一旦用户执行这些文件，恶意软件就会通过SMB协议从远程共享中下载并安装。

自2024年8月以来，攻击者改变了策略，采用了新的基础设施和交付技术，并增加了新的恶意软件负载，如DanaBot和Arechclient2。这些攻击活动通常包含不到20条消息，影响少数客户，所有这些客户都在北美的运输和物流行业。

此外，攻击者还开始使用一种名为“ClickFix”的技术来传播恶意软件。这些邮件中的URL会引导用户通过多个对话框，最终复制并运行一个Base64编码的PowerShell脚本。这些脚本会下载一个MSI文件，用于加载DanaBot恶意软件。

尽管Proofpoint已经观察到其他威胁行为者使用类似的技术来冒充Word或Chrome更新，但这些攻击活动冒充的是Samsara、AMB Logistic和Astra TMS等软件，这些软件仅用于运输和车队运营管理。

目前，Proofpoint尚未将这些攻击活动归因于已知的威胁行为者。然而，研究人员认为，这些攻击活动与金融动机相关的网络犯罪目标相一致。攻击者越来越倾向于定制诱饵，使其看起来更加真实，以诱使收件人点击链接或下载附件。通过入侵合法的电子邮件账户并向现有对话发送恶意链接和附件，攻击者提高了收件人安装恶意软件的风险。

这些攻击活动特别针对运输和物流行业的组织，并使用冒充货运操作和车队管理软件的诱饵，表明攻击者可能在发送攻击活动之前对目标公司的运营进行了研究。诱饵中使用的语言和内容也表明攻击者对典型的业务工作流程有深入了解。

这些攻击活动与Proofpoint研究人员在整个网络犯罪威胁环境中观察到的一种趋势相一致。威胁行为者正在开发更复杂的社会工程和初始访问技术，同时更多地依赖于商品化恶意软件，而不是复杂和独特的恶意软件负载。

运输和物流行业的成员以及普通用户应谨慎对待来自已知发件人的电子邮件，特别是当这些邮件的内容或链接看起来不寻常时。如果遇到此类活动，用户应通过其他方式联系发件人以确认其真实性。

这些攻击活动的复杂性和针对性表明，网络犯罪分子正在不断进化他们的攻击策略，以更好地规避检测并最大化其攻击效果。企业和个人用户应保持高度警惕，并采取适当的网络安全措施来保护自己免受此类威胁。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！