“柴油漩涡”钓鱼攻击瞄准美欧货运物流企业

“柴油漩涡”钓鱼攻击瞄准全球货运物流行业

安全研究人员发现，一个名为**“柴油漩涡”（Diesel Vortex）的金融动机威胁组织正在对美国和欧洲的货运及物流企业发起大规模钓鱼攻击。该攻击活动利用52个恶意域名**，专门针对运输和供应链行业组织窃取凭证。

攻击概况与技术细节

“柴油漩涡”组织自2024年初以来持续活跃，主要通过鱼叉式钓鱼邮件窃取企业凭证。攻击者使用域名欺骗（typosquatting）技术，注册与合法物流平台相似的域名，诱骗员工在虚假登录页面输入凭证。

关键技术细节包括：

• 52个恶意域名，多数包含物流相关关键词（如 freight-portal[.]com、logistics-auth[.]net）。
• 钓鱼邮件冒充可信合作伙伴（如船运公司或海关机构），提高欺骗性。
• 凭证窃取页面与合法登录门户高度相似，通常托管于被攻陷或“防弹”主机服务上。
• 未发现与CVE漏洞相关的利用，攻击主要依赖社会工程学而非软件漏洞。

影响与动机

该攻击活动以金融利益为目的，窃取的凭证可能被用于：

• 商业电子邮件诈骗（BEC），篡改付款或敏感货物流向。
• 供应链欺诈，包括发票操纵或货物盗窃。
• 间谍活动或网络横向移动，进一步渗透被攻陷网络。

货运物流企业因复杂供应链、频繁资金交易及对第三方供应商的依赖，成为钓鱼和BEC攻击的高风险目标。

组织防范建议

货运物流行业的安全团队应采取以下措施降低风险：

1. 域名监控与封锁

   • 部署DNS过滤，封锁与“柴油漩涡”相关的已知恶意域名。
   • 监控使用物流相关关键词的新注册域名。

2. 员工培训与意识提升

   • 开展钓鱼模拟演练，提高员工对虚假登录页面的识别能力。
   • 强调验证流程，特别是针对付款请求或凭证提交。

3. 多因素认证（MFA）

   • 强制为所有企业账户启用MFA，尤其是电子邮件和财务系统。
   • 优先为高风险角色部署抗钓鱼MFA（如FIDO2安全密钥）。

4. 邮件安全增强

   • 实施DMARC、DKIM和SPF协议，防止邮件欺骗。
   • 使用**高级威胁防护（ATP）**解决方案，检测并隔离钓鱼邮件。

5. 事件响应准备

   • 制定并测试凭证泄露场景的应急预案。
   • 监控异常登录尝试或来自陌生地理位置的访问。

结论

“柴油漩涡”钓鱼攻击凸显了社会工程学攻击对关键基础设施行业的持续威胁。货运物流企业需采取纵深防御策略，结合技术控制、员工培训和主动监控，有效降低风险。安全团队应共享威胁指标（IOCs），并与行业伙伴合作，瓦解该攻击活动的基础设施。

完整IOCs列表请参阅BleepingComputer原始报告。