Kötü niyetli aktörler, kamyon taşımacılığı ve lojistik şirketlerini hedefleyerek meşru uzaktan izleme ve yönetim (RMM) yazılımlarını kötüye kullanıyor. Amaç, finansal kazanç sağlamak ve nihayetinde kargo hırsızlığı yapmak.

Tehdit Manzarası ve Yöntemler

• E-posta kaçırma: Ele geçirilen hesaplarla mevcut yazışmaların içine sızma.
• Sahte yük ilanları: Yük panolarında hack’lenmiş hesaplarla ilan yayınlama ve ilgilenen taşıyıcılara kötü amaçlı URL gönderme.
• Hedefler: Varlık sahibi taşıyıcılar, lojistik broker’lar ve entegre tedarik zinciri sağlayıcıları.

Kullanılan Araçlar ve Yükler

Kötü amaçlı URL’ler, ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able ve LogMeIn Resolve gibi meşru RMM’leri içeren MSI/EXE yükleyicilere yönlendiriyor. Bazı vakalarda PDQ Connect, ScreenConnect ve SimpleHelp kurulumunu tetiklemek için birlikte kullanılıyor.

İçerideki Hareketler

Uzaktan erişim elde edildikten sonra saldırganlar keşif yapıyor, kimlik bilgilerini toplamak için WebBrowserPassView gibi araçlar bırakıyor ve ağ içinde derinleşiyor. En az bir olayda, rezervasyonların silinmesi/bloke edilmesi ve santral uzantısına kendi cihazlarının eklenmesi gibi adımlar gözlemlendi.

Kapsam ve Eğilimler

Ağustos 2025’ten bu yana iki düzineyi aşkın kampanya tespit edildi. Küçük aile şirketlerinden büyük firmalara kadar geniş yelpaze hedef alınıyor. RMM yazılımları imzalı ve meşru göründüğü için güvenlik kontrollerini atlatabiliyor.

Risk Azaltma İpuçları

• Kurumsal RMM envanterini çıkarın, onaylı liste ve engelli liste uygulayın.
• MSI/EXE indirmelerini uygulama denetimiyle kısıtlayın; kod imzasını doğrulayın.
• Yük panoları ve broker hesapları için MFA ve oturum açma uyarıları zorunlu olsun.
• Tarayıcı parolası depolarını devre dışı bırakın veya kasalayın; kimlik bilgisi hırsızlarına karşı izleme yapın.
• EDR’de RMM kurulum/çalıştırma davranış kuralları oluşturun (ör. sessiz kurulum bayrakları).