قراصنة يستخدمون أدوات المراقبة عن بعد لاختراق شركات الشحن وسرقة البضائع

رصد باحثون في شركة Proofpoint الأمنية حملة تستهدف شركات الشحن والوسطاء في قطاع النقل البري، حيث يستخدم المهاجمون روابط خبيثة ورسائل بريد إلكتروني مضللة لنشر أدوات المراقبة والإدارة عن بعد RMM، مثل ScreenConnect وSimpleHelp وPDQ Connect وFleetdeck وN-able وLogMeIn Resolve، بما يتيح لهم السيطرة الكاملة على الأنظمة وسرقة بيانات الدخول وتوجيه الشحنات نحو وجهات مزيفة.

وقال الباحثون إن النشاط المستمر منذ يناير 2025 شهد تصاعداً ملحوظاً في الأشهر الأخيرة، مع تسجيل نحو 20 حملة منذ أغسطس، تضم كل واحدة منها ما يصل إلى 1000 رسالة بريدية موجهة إلى شركات في أميركا الشمالية. كما رصد باحثون أنشطة مماثلة في البرازيل والمكسيك والهند وألمانيا وتشيلي وجنوب أفريقيا.

سرقة الشحنات عبر الفضاء السيبراني

تقدر بيانات مكتب التحقيق في جرائم التأمين الوطني الأميركي (NICB) خسائر سرقة الشحنات في الولايات المتحدة بنحو 35 مليار دولار سنوياً، وتشمل هذه العمليات عادة اختطاف الشاحنات أثناء النقل أو انتحال هوية شركات النقل لتوجيه البضائع إلى نقاط استلام مزيفة. إذ بات القراصنة يستغلون الفجوات الرقمية في منظومة سلاسل الإمداد التي تعتمدها الشركات لتنسيق عمليات النقل إلكترونياً.

يبدأ الهجوم عادة باختراق حسابات مستخدمة في منصات عرض الحمولات أو عبر التسلل إلى حسابات البريد الإلكتروني الخاصة بالوسطاء والموزعين. ومن هناك، يرسل المهاجمون رسائل موجهة تحاكي المراسلات الرسمية بين الشركات، وتحتوي على روابط تؤدي إلى مواقع مزيفة تحمل شعارات شركات نقل حقيقية وتدعو الضحية إلى تحميل ملفات تنفيذية أو حزم تثبيت تنصب أدوات RMM على النظام المستهدف.

تكتيكات تعتمد على الهندسة الاجتماعية وخبرة دقيقة في قطاع النقل

يقول خبراء Proofpoint إن المهاجمين يستخدمون أساليب إقناع متقدمة في رسائلهم، إذ يصوغونها بلهجة استعجال مرتبطة بعمليات شحن عاجلة أو تفاوض على حمولة جديدة، ما يمنحها مصداقية إضافية. كما يظهر في الرسائل إدراك واضح لآليات عمل قطاع النقل من حيث مصطلحاته وإجراءاته، ما يعزز فرص انخداع الموظفين المستهدفين.

بمجرد تثبيت أداة RMM، يحصل المهاجم على إمكانية التحكم عن بعد في الجهاز المخترق، ويمكنه تعديل الحجوزات أو إلغاء الإشعارات أو إضافة أجهزته إلى نظام الاتصالات الداخلي للمؤسسة لانتحال هوية الشركة والتواصل المباشر مع الوسطاء. وقد لاحظ الباحثون استخدام عدة أدوات RMM معاً.

وفي بعض الحالات، استخدم المهاجمون أدوات إضافية لسرقة كلمات المرور مثل WebBrowserPassView، بما يشير إلى نية التوغل أعمق في الشبكات المخترقة واستهداف أنظمة إضافية ضمن سلسلة الإمداد.

شراكة محتملة بين القراصنة والجريمة المنظمة

تشير تحليلات Proofpoint إلى أن دقة اختيار الأهداف وطبيعة البضائع المستهدفة، خصوصاً ذات القيمة العالية مثل الأجهزة الإلكترونية والمشروبات والمواد الغذائية، تدل على امتلاك المهاجمين معرفة داخلية بمسارات النقل وجداول الشحن. ويرجح الباحثون أن هؤلاء القراصنة يعملون بتنسيق مع شبكات جريمة منظمة متخصصة في سرقة الشحنات الفعلية.

أوضح أحد مشغلي النقل الذين تعرضوا للهجوم أن المخترقين تمكنوا من خداع المرسل لديهم لتثبيت أداة RMM، ما أتاح لهم التحكم في حساب الشركة بالكامل. وبعدها حذفوا جميع رسائل الحجز وأوقفوا التنبيهات، ثم أضافوا جهازهم إلى نظام الهاتف الداخلي، فتمكنوا من الرد على المكالمات ورسائل البريد الرسمية باسم الشركة وخداع الوسطاء لتسليم الحمولات إليهم.

ثم اعترضوا البضائع المسروقة أثناء النقل أو إعادة توجيهها إلى مستودعات مزيفة، قبل بيعها عبر الإنترنت أو تهريبها إلى الخارج.

ورغم أن أدوات RMM المشروعة كانت الأداة الأساسية في هذه العمليات، فقد لاحظ الباحثون استخدام برمجيات خبيثة أخرى مثل NetSupport وDanaBot وLumma Stealer وStealC ضمن حملات موازية يصعب نسبها إلى مجموعة محددة.

توصيات الحماية

حذرت Proofpoint من ضرورة فرض قيود صارمة على تثبيت أدوات RMM غير المصرح بها، ومراقبة النشاط الشبكي باستمرار، وحجب المرفقات التنفيذية (EXE) وملفات التثبيت (MSI) عند بوابة البريد الإلكتروني، إلى جانب تعزيز الوعي الأمني لدى موظفي قطاع النقل والوسطاء للحد من مخاطر الهندسة الاجتماعية.