Исследователи раскрыли инфраструктуру фишинговой группы Diesel Vortex, похитившей 1600 учетных записей грузовых компаний
Специалисты платформы защиты доменов Have I Been Squatted совместно с исследовательской группой Ctrl-Alt-Int3l обнаружили и помогли ликвидировать инфраструктуру фишинговой операции, нацеленной на грузовые и логистические компании в США и Европе, сообщает издание The Record.
Как указывается в материале, за пять месяцев деятельности группировке, получившей название Diesel Vortex, удалось похитить более 1600 учетных данных для входа в аккаунты на логистических платформах. Злоумышленники получали доступ к биржам грузоперевозок (load boards), порталам управления автопарками и системам топливных карт. Выдавая себя за перевозчиков и брокеров, они перехватывали и перенаправляли грузовые отправки, а также занимались мошенничеством с чеками.
Обнаружение стало возможным благодаря найденной исследователями открытой директории .git, которая раскрыла внутренние детали операции, включая переписку киберпреступников. В утекшем репозитории содержалась информация о подготовке к запуску платформы «фишинг-как-услуга» (Phishing-as-a-service) под названием «MC Profit Always». Кроме того, анализ переписки позволил восстановить организационную структуру группы, которая, как сообщили исследователи, включала колл-центр, службу поддержки по электронной почте и сотрудников для связи с водителями и логистическими компаниями.
В ходе анализа инфраструктуры были выявлены возможные географические связи группировки. Как сообщается, в исходном коде фишинговой панели обнаружилось упоминание домена, зарегистрированного через российского провайдера и связанного с российским электронным адресом. По данным корпоративных записей, этот адрес был связан с несколькими российскими компаниями в сфере складирования, транспорта и оптовой торговли. Помимо этого, в переписке присутствовали армяноязычные операторы: один из участников сообщал о своем нахождении в Ереване, а в другом чате злоумышленники обсуждали на армянском языке доступ к данным перевозчика, работающего с высокостоимыми грузами.
В ликвидации инфраструктуры группировки, по данным исследователей, принимали участие Google Threat Intelligence Group, Cloudflare, GitLab, IPInfo и Ping Identity.
Читайте также
