文章总结： 俄黑客组织DieselVortex针对全球物流行业发起大规模钓鱼攻击，半年内窃取1600余组凭证。该组织利用双域名隐匿技术绕过浏览器警告，实时截获凭证与MFA验证码，实施货物改道与资金盗窃。调查发现其服务器存在配置错误导致数据泄露。建议企业采用FIDO2硬件密钥防御，并部署DNS过滤与域名监控措施以应对此类威胁。 综合评分： 80 文章分类： 威胁情报,社会工程学,安全建设

俄黑客组织Diesel Vortex针对全球物流行业发起攻击并窃取1600余组凭证

FreeBuf

2026年2月25日 18:05 上海

#

Part01

大规模钓鱼攻击行动

与俄罗斯有关联的网络犯罪团伙Diesel Vortex持续对美国及欧洲货运公司发起大规模钓鱼攻击。该行动自2025年9月持续至2026年2月，已从DAT Truckstop、Penske Logistics、Electronic Funds Source（EFS）及Timocom等主流物流平台用户处窃取1649组登录凭证。

该团伙以”MC Profit Always”为品牌名称，实际运营着一个结构化犯罪服务平台，可能向其他不法分子出售钓鱼攻击服务。攻击者通过鱼叉式钓鱼邮件和语音钓鱼电话锁定卡车运输从业人员，尤其针对货运主题的Telegram群组成员。

Part02

实时窃取与欺诈行为

通过仿冒受害者日常使用的平台界面，该团伙实时截获登录凭证及多因素认证（MFA）验证码，进而实施货物改道、资金窃取和支票欺诈等犯罪活动。网络安全公司Have I Been Squatted在为客户排查域名抢注情况时，意外发现与该行动相关的可疑域名集群。

调查人员在钓鱼服务器上发现一个未受保护的Git目录，其中包含完整的源代码、受害者数据库、内部通讯记录及未来计划。2026年2月4日的36.6MB SQL数据库文件显示：攻击者部署了52个钓鱼域名，定向发送75840封钓鱼邮件，并成功实施35起EFS支票欺诈。

Part03

双域名隐匿技术

该行动最具技术含量的环节是其双域名隐匿机制。受害者首先收到指向看似正常的”广告域名”链接，点击后页面会在隐形浏览器框架内加载第二个”系统域名”。这使得地址栏始终显示可信域名，而实际钓鱼内容在后台加载，成功规避多数浏览器安全警告。

Part04

攻击规模统计

Part05

防御建议

攻击者通过Telegram实时监控受害者操作，引导其输入Google、Microsoft或Yahoo邮箱凭证。安全团队建议采用FIDO2硬件密钥或设备绑定通行密钥进行防护，因为基于Telegram的实时拦截会使得标准一次性密码和短信验证码失效。同时应部署DNS过滤系统，并主动监控仿冒物流平台的抢注域名。

参考来源：

Diesel Vortex Russian Cybercrime Group Targets Global Logistics Sector and Steals 1,600+ Credentials

Diesel Vortex Russian Cybercrime Group Targets Global Logistics Sector and Steals 1,600+ Credentials

#

#

#

推荐阅读

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《俄黑客组织Diesel Vortex针对全球物流行业发起攻击并窃取1600余组凭证》