文章总结： 名为DieselVortex的威胁组织自2025年9月以来针对美欧货运物流机构发起网络钓鱼攻击，利用52个域名窃取1649个凭证，攻击范围覆盖货运平台、车队管理门户等关键系统。该组织通过钓鱼邮件、语音钓鱼及Telegram渗透结合西里尔字母同形异义词规避检测，使用像素级克隆页面窃取凭证、2FA码等敏感信息。研究机构通过暴露的存储库和开源情报揭露其高度组织化运作，相关基础设施已被协调中断。 综合评分： 85 文章分类： 网络钓鱼,威胁情报,漏洞分析,供应链安全,社会工程学

美国和欧洲的货运和物流机构遭网络钓鱼攻击

Rhinoer Rhinoer

犀牛安全

2026年3月19日 00:00 北京

一个名为“Diesel Vortex”的以经济利益为目的的威胁组织，利用 52 个域名，通过网络钓鱼攻击窃取美国和欧洲货运及物流运营商的凭证。

自 2025 年 9 月以来，该攻击者已从货运行业的关键平台和服务提供商处窃取了 1649 个独特的凭证。

Diesel Vortex事故的部分受害者包括 DAT Truckstop、TIMOCOM、Teleroute、Penske Logistics、Girteka 和 Electronic Funds Source (EFS)。

域名抢注监控平台 Have I Been Squatted 的研究人员在发现一个暴露的存储库后揭露了这一活动，该存储库包含一个来自名为 Global Profit 的网络钓鱼项目的 SQL 数据库，威胁行为者将其以 MC Profit Always 的名义推销给其他网络犯罪分子。

该存储库还包含一个 Telegram webhook 日志文件，其中揭示了钓鱼服务运营者之间的通信。根据所使用的语言，研究人员认为 Diesel Vortex 是一个与俄罗斯基础设施有关联的亚美尼亚语组织。

Have I Been Squatted 的分析工作得到了代币化基础设施提供商 Ctrl-Alt-Intel 的加入，后者利用开源情报将运营商、基础设施以及与各家公司的联系联系起来。

在一份冗长的技术报告中，域名抢注保护提供商表示，他们发现了近 3,500 对被盗凭证，其中 1,649 对是唯一的。

研究人员表示，他们还找到了一个由该组织成员创建的思维导图的链接，该导图描述了一个“高度组织化的运作”，其中包括呼叫中心、邮件支持、程序员角色以及负责寻找司机、承运人和物流联系人的工作人员。

此外，该地图还提供了有关获取渠道的详细信息，包括 DAT One 市场、电子邮件营销活动、费率确认欺诈以及各个运营层级的收入。

Have I Been Squatted 的研究人员表示 : Diesel Vortex 组织为货运经纪人、卡车运输公司和供应链运营商日常使用的平台构建了专门的网络钓鱼基础设施。货运信息平台、车队管理门户网站、燃油卡系统和货运交易平台都在其攻击范围之内。

这些平台交易量巨大，但目标员工通常不是企业安全计划的主要关注点，而运营者显然也知道这一点。

这些攻击包括使用 Zoho SMTP 和 Zeptomail 通过钓鱼工具包的邮件程序向目标发送钓鱼邮件，并在发件人和主题字段中结合西里尔字母同形异义词技巧来规避安全过滤器。

攻击中还使用了语音钓鱼和渗透到卡车运输和物流人员经常使用的 Telegram 频道。

当受害者点击钓鱼链接时，他们会进入一个“.com”域名上的最小 HTML 页面，该页面包含一个全屏 iframe，用于加载钓鱼内容，然后经过系统域 (.top/.icu) 上的 9 阶段伪装过程。

这些钓鱼页面是目标物流平台的像素级克隆。根据目标的不同，它们可能会窃取凭证、许可证数据、MC/DOT 编号、RMIS 登录详细信息、PIN 码、双因素身份验证码、安全令牌、付款金额、收款人姓名和支票号码。

网络钓鱼过程完全由运营者直接控制，运营者通过 Telegram 机器人决定何时批准步骤并激活下一阶段。

可能采取的措施包括：要求提供 Google、Microsoft Office 365 和 Yahoo 的密码、启用双因素身份验证 (2FA)、重定向受害者，甚至在会话期间阻止他们。

研究人员表示，在 GitLab、Cloudflare、Google Threat Intelligence、CrowdStrike 和 Microsoft Threat Intelligence Center 的协调行动之后，Diesel Vortex 行动（包括面板和网络钓鱼域以及 GitLab 存储库）被中断。

Ctrl-Alt-Intel 则从运营商在 Telegram 上用亚美尼亚语进行的关于窃取货物或资金的聊天记录以及一个电子邮件地址开始，开展了一项开源情报调查。

除了在钓鱼网站源代码中发现的域名外，研究人员还发现了与俄罗斯从事批发贸易、运输和仓储的个人和公司之间的联系。

研究人员指出：用于注册网络钓鱼基础设施的同一电子邮件地址出现在[俄罗斯]物流公司的企业文件中，这些物流公司与 Diesel Vortex 的目标垂直领域相同。

根据已发现的证据，研究人员认定 Diesel Vortex 窃取了凭证，并协调了与货运冒充、邮箱入侵、双重经纪或货物转移相关的活动。

双重经纪是指使用被盗的承运人身份预订货物，然后重新分配或转移货物，从而将货物发送到 欺诈性的提货点，以便盗窃货物。

完整的入侵指标 (IoC)，包括网络、Telegram、基础设施、电子邮件和加密货币地址，可在“我的账户是否已被占用”报告的底部找到。

信息来源：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《美国和欧洲的货运和物流机构遭网络钓鱼攻击》