phishingtransport morskiBECFormBook

Fałszywe domeny dostawców w transporcie morskim

2026-07-11

Phishing w transporcie morskim używał domen podszywających się pod dostawców i złośliwych załączników. Sprawdź mechanizm i reakcję.

Fałszywe domeny dostawców w transporcie morskim

TL;DR

Badacze VMRay rozpoczęli analizę od pojedynczego serwera dowodzenia i kontroli, czyli C2, powiązanego z RedLine Stealer. Dalsze sprawdzanie infrastruktury doprowadziło do wiadomości phishingowych wymierzonych w południowokoreańską firmę z sektora morskiego, złośliwych archiwów dostarczających FormBook oraz grupy domen stylizowanych na nazwy dostawców.

Istotą kampanii nie było masowe podszywanie się pod znaną globalną markę. Atakujący budowali wiarygodnie brzmiące tożsamości biznesowe, które mogły pasować do codziennej korespondencji dotyczącej dostaw, dokumentów, części, wycen i przesyłek. Taki model utrudnia ocenę wiadomości osobie, która współpracuje z wieloma zagranicznymi kontrahentami.

Dla firmy najważniejsze są trzy warstwy obrony: weryfikacja domeny i dostawcy poza otrzymaną wiadomością, kontrola archiwów i plików na bramie pocztowej oraz szybka reakcja po otwarciu załącznika. Blokowanie opublikowanych wskaźników kompromitacji jest potrzebne, ale nie zatrzyma kolejnych domen zbudowanych według podobnego schematu.

Co ujawniła analiza kampanii morskiej

Źródłem wejściowym dla badaczy był adres serwera C2 używanego przez RedLine Stealer: 194[.]156.79.122:55615. RedLine to złośliwe oprogramowanie wykradające między innymi hasła, dane zapisane w przeglądarce i pliki sesji. W tym dochodzeniu jego infrastruktura okazała się jednak przede wszystkim punktem zaczepienia.

Analitycy połączyli nietypowy port, odpowiedzi serwera, informacje o hostingu, certyfikaty oraz pliki komunikujące się z badaną infrastrukturą. Wykorzystali między innymi dane z sandboxa VMRay, VirusTotal, FOFA i Censys. Kolejne powiązania prowadziły do wiadomości e-mail kierowanych do Kangrim Heavy Industries, południowokoreańskiego producenta urządzeń dla przemysłu morskiego.

Wiadomości wykorzystywały tematykę dostaw i logistyki. Załączone archiwa ZIP miały dostarczać FormBook, czyli infostealera zdolnego do kradzieży danych logowania, przechwytywania naciśnięć klawiszy, wykonywania zrzutów ekranu oraz pobierania kolejnych plików. Najstarsze próbki powiązane z kampanią miały pochodzić z kwietnia 2026 roku.

W opublikowanym zestawie wskazano siedem dodatkowych domen zbudowanych tak, aby wyglądały jak nazwy zwykłych podmiotów gospodarczych:

acasiallc[.]shop
amdocsllc[.]shop
ansysllc[.]shop
cimentosservices[.]online
epsilongroup[.]online
softinsallc[.]online
taicom[.]top

Lista wskaźników jest zapisem konkretnego etapu dochodzenia, a nie pełnym katalogiem zagrożenia. W szerszej infrastrukturze pojawiały się również inne domeny i adresy IP. Dla SOC oznacza to, że warto blokować znane elementy, ale jednocześnie szukać wspólnych cech: podobnego nazewnictwa, hostingu, certyfikatów, serwerów pocztowych i wzorców załączników.

RedLine był śladem, a FormBook ładunkiem wiadomości

Nagłówek kampanii może sugerować, że RedLine został wysłany bezpośrednio do firm morskich. Opublikowany przebieg dochodzenia wskazuje bardziej złożony układ.

RedLine dostarczył początkowy wskaźnik infrastruktury. Analitycy znaleźli powiązane serwery i pliki, a następnie dotarli do wiadomości, które przenosiły FormBook. To ważne rozróżnienie podczas reagowania na incydent. Rodzina malware widoczna na początku analizy nie musi być tą samą, którą otrzymał użytkownik.

Kampania łączyła ukierunkowany phishing z załącznikiem oraz elementy Business Email Compromise, czyli BEC. Ten model rozwija podstawowy mechanizm opisany w materiale co to jest phishing: atakujący wykorzystuje zaufanie do nadawcy, aby skłonić odbiorcę do działania. BEC polega na podszyciu się pod firmę, dostawcę albo osobę uczestniczącą w procesie biznesowym. Nie każdy atak BEC wykorzystuje malware. W tym przypadku wiarygodna tożsamość dostawcy mogła ułatwiać dostarczenie złośliwego pliku, a późniejsza kradzież danych mogła otworzyć drogę do przejęcia korespondencji lub fraudu płatniczego.

Jak działa atak z fałszywą domeną dostawcy

Mechanizm można opisać jako pięć powiązanych etapów.

  1. Budowa wiarygodnej tożsamości. Atakujący rejestruje domenę brzmiącą jak nazwa dostawcy, producenta albo firmy usługowej. Nie musi kopiować znanej marki. Wystarczy, że nazwa pasuje do realiów branży.
  2. Dopasowanie wiadomości do procesu. Treść dotyczy przesyłki, dokumentów, części, wyceny, zamówienia lub współpracy. Odbiorca ma powód, aby uznać temat za zawodowy.
  3. Dostarczenie załącznika. Archiwum ZIP może być przedstawione jako dokumentacja, specyfikacja, potwierdzenie wysyłki albo oferta. Po rozpakowaniu użytkownik uruchamia plik, który inicjuje infekcję.
  4. Kradzież danych. FormBook zbiera dane z urządzenia i może pobierać kolejne komponenty. Przejęte hasła, sesje i treść ekranu pomagają rozwinąć atak poza jeden komputer.
  5. Nadużycie relacji biznesowej. Dostęp do poczty lub wiedza o współpracy z dostawcami może wesprzeć kolejne podszycie, zmianę rachunku, fałszywą fakturę albo próbę włączenia się do istniejącego wątku.
Schemat phishingu w transporcie morskim: fałszywa domena dostawcy, wiadomość, załącznik ZIP, FormBook i reakcja firmy

Schemat pokazuje przejście od fałszywej tożsamości dostawcy do infekcji i możliwego nadużycia korespondencji. Proces można zatrzymać przed otwarciem załącznika przez niezależne potwierdzenie nadawcy.

Dlaczego domena może wyglądać wiarygodnie

Pracownik nie zawsze zna wszystkich dostawców swojej organizacji. W transporcie morskim, spedycji i produkcji urządzeń współpraca obejmuje firmy z wielu krajów, pośredników, agentów, przewoźników, serwisy portowe i podwykonawców. Nowa nazwa w korespondencji nie musi automatycznie wyglądać podejrzanie.

Atakujący wykorzystują tę niepewność. Domena z końcówką .shop, .online albo .top może zostać uznana za nietypową, ale sama końcówka nie rozstrzyga o oszustwie. Groźniejsza jest zgodność całej historii: branżowa nazwa, rzeczowy temat, podpis, język dopasowany do relacji i załącznik, którego odbiorca mógł się spodziewać.

Nie wystarczy też sprawdzić, czy wiadomość przeszła SPF, DKIM lub DMARC. Fałszywa domena kontrolowana przez atakującego może mieć poprawnie skonfigurowane własne mechanizmy uwierzytelnienia poczty. Filtry potwierdzą wtedy, że wiadomość rzeczywiście pochodzi z domeny oszusta, ale nie potwierdzą, że nadawca jest prawdziwym dostawcą.

Różnica względem kampanii Diesel Vortex

PHISHLY opisywało wcześniej kampanię Diesel Vortex wymierzoną w logistykę i spedycję. Tam głównym mechanizmem były domeny i sklonowane strony logowania służące do przejmowania kont używanych w branży TSL.

Kampania morska opisana przez VMRay ma inny środek ciężkości. Domena wspierała podszycie pod dostawcę, a wiadomość dostarczała złośliwy załącznik. Punkt decyzji użytkownika nie dotyczył wyłącznie wpisania hasła na fałszywej stronie. Dotyczył uznania nieznanej firmy za uczestnika prawdziwego procesu i uruchomienia pliku.

Oba scenariusze łączy wykorzystanie tempa pracy oraz rozproszonego łańcucha dostaw. Różnią się jednak skutkiem pierwszej decyzji. W jednym przypadku atakujący przejmuje konto na platformie. W drugim infekuje urządzenie i zbiera dane, które mogą posłużyć do dalszych działań.

Sygnały ryzyka dla odbiorcy wiadomości

Pojedynczy sygnał rzadko wystarcza do pewnej oceny. Kilka rozbieżności powinno jednak zatrzymać proces przed otwarciem pliku:

  • nadawca twierdzi, że reprezentuje dostawcę, którego nie ma w systemie kontrahentów;
  • pełna domena różni się od adresu używanego wcześniej w umowie, zamówieniu lub portalu;
  • wiadomość rozpoczyna nowy wątek, chociaż dotyczy istniejącej dostawy;
  • podpis i nazwa firmy wyglądają poprawnie, ale numer telefonu lub domena nie zgadzają się z zapisanymi danymi;
  • załącznik ma format ZIP, RAR, ISO, IMG, HTML, LNK, JS albo plik wykonywalny;
  • archiwum jest zabezpieczone hasłem przesłanym w tej samej wiadomości;
  • nadawca próbuje ominąć portal dostawcy i przejść wyłącznie na komunikację e-mail;
  • prośba dotyczy zmiany rachunku, danych firmy, miejsca dostawy lub osoby kontaktowej;
  • wiadomość wymusza działanie poza zwykłą ścieżką akceptacji.

Najbezpieczniejsza reakcja nie polega na odpowiadaniu z prośbą o potwierdzenie. Jeżeli skrzynka albo domena są kontrolowane przez atakującego, odpowiedź trafi do tej samej osoby. Potwierdzenie powinno odbyć się przez numer zapisany wcześniej w systemie dostawców, znany portal albo kontakt z umowy.

Kontrole dla logistyki, zakupów i księgowości

Firmy z sektora transportu i logistyki powinny chronić nie tylko skrzynki pocztowe, lecz także momenty zmiany w relacji z kontrahentem.

Rejestr dostawców jako źródło prawdy

Domena e-mail, numery telefonu i rachunek bankowy powinny być zapisane w kontrolowanym systemie. Dane przesłane w nowej wiadomości nie mogą automatycznie zastępować informacji zatwierdzonych wcześniej.

Zmiana domeny, numeru telefonu, rachunku lub osoby uprawnionej do składania dyspozycji powinna wymagać niezależnego potwierdzenia. Dla płatności i kluczowych zmian warto stosować zasadę dwóch osób oraz udokumentowany kontakt zwrotny.

Oddzielenie dokumentów od plików wykonywalnych

Dokumenty przewozowe, specyfikacje i potwierdzenia powinny trafiać przez uzgodniony portal albo w dopuszczonych formatach. Organizacja może ograniczyć przyjmowanie archiwów od zewnętrznych nadawców, poddawać je analizie w sandboxie lub kierować do kwarantanny.

Nie oznacza to blokowania każdej paczki ZIP w całej firmie. Polityka może zależeć od roli, procesu i nadawcy. Inne wymagania ma dział projektowy wymieniający duże zestawy plików, a inne księgowość otrzymująca faktury.

Potwierdzanie zmian poza wiadomością

Zmiana rachunku, adresu dostawy, spedytora lub warunków płatności powinna być potwierdzana kanałem niezależnym od wiadomości. Numer telefonu pobrany z tej samej stopki nie jest niezależnym kanałem.

Działania dla IT, SOC i administratorów poczty

Ochrona techniczna powinna objąć wiadomość, urządzenie, tożsamość użytkownika i infrastrukturę domenową.

Poczta i DNS

Bramka pocztowa może podnosić poziom ryzyka dla nowych domen, domen podobnych do kontrahentów oraz wiadomości zawierających archiwa. Warto analizować nie tylko nazwę wyświetlaną, ale pełny adres nadawcy, domenę zwrotną, nagłówki Reply-To, historię korespondencji i reputację infrastruktury.

Opublikowane domeny i adresy IP należy sprawdzić w logach poczty, DNS, proxy, firewalli i EDR. Blokadę należy wdrażać w kontrolowanych systemach, zachowując defangowanie wskaźników poza narzędziami analitycznymi.

Własne domeny organizacji powinny mieć poprawne SPF, DKIM i DMARC. Te mechanizmy ograniczają podszywanie się pod domenę firmy, lecz nie blokują domen podobnych ani całkowicie nowych tożsamości biznesowych.

Endpoint i tożsamość

EDR powinien wykrywać uruchamianie plików z archiwów pobranych z poczty, nietypowe procesy potomne, kradzież danych z przeglądarek oraz połączenia do infrastruktury C2. Po wykryciu infostealera samo usunięcie pliku nie kończy incydentu.

Zespół powinien założyć, że dane logowania, ciasteczka sesyjne i informacje zapisane w przeglądarce mogły zostać przejęte. Reakcja obejmuje reset haseł z czystego urządzenia, unieważnienie aktywnych sesji, analizę logowań, przegląd reguł skrzynki i kontrolę aplikacji mających dostęp do konta.

Threat hunting poza pojedynczym IOC

W tym dochodzeniu użyteczna była kombinacja nietypowego portu, odpowiedzi serwera, hostingu, certyfikatów i plików komunikujących się z infrastrukturą. Podobne podejście pozwala przejść od jednego alarmu do szerszej kampanii.

SOC może szukać:

  • połączeń do portu 55615 i adresów wskazanych w raporcie;
  • wiadomości z domen podobnych do nazw zapisanych dostawców;
  • zewnętrznych nadawców używających nowej domeny w istniejącym procesie;
  • archiwów ZIP prowadzących do uruchomienia pliku lub skryptu;
  • alertów związanych z FormBook, RedLine i kradzieżą danych z przeglądarki;
  • nowych reguł przekazywania poczty oraz nietypowych logowań po incydencie na stacji roboczej.

Wskaźniki z lipca 2026 roku z czasem stracą część wartości. Wzorzec działania pozostanie aktualny dłużej: domena przypominająca firmę, dopasowany kontekst dostawy, złośliwy załącznik i próba przejęcia relacji biznesowej.

Co zrobić, jeśli to już się stało

Sposób reakcji zależy od działania wykonanego przez użytkownika. Nie należy czekać na objawy ani samodzielnie usuwać śladów.

Otwarty załącznik lub uruchomiony plik

Pracownik powinien natychmiast zgłosić zdarzenie do IT lub SOC i podać, jaki plik uruchomił. Urządzenie należy odizolować zgodnie z procedurą organizacji, ale nie wyłączać go odruchowo, jeżeli zespół reagowania wymaga zachowania danych w pamięci.

Zespół powinien zabezpieczyć wiadomość z nagłówkami, archiwum, plik po rozpakowaniu oraz informacje o procesach i połączeniach sieciowych. Analiza musi objąć także inne osoby, które otrzymały tę samą wiadomość.

Użycie konta na potencjalnie zainfekowanym urządzeniu

Hasła należy zmienić z czystego komputera. Trzeba unieważnić aktywne sesje i tokeny, sprawdzić nietypowe logowania oraz przeanalizować skrzynkę pod kątem reguł przekazywania, usuniętych wiadomości i wysyłki do kontrahentów.

Jeżeli użytkownik miał dostęp do systemu ERP, platform logistycznych, bankowości, poczty współdzielonej lub portalu dostawców, właściciele tych systemów powinni ocenić historię operacji po czasie infekcji.

Zmienione dane dostawcy lub wykonana płatność

Należy zatrzymać kolejne płatności, skontaktować się z bankiem i prawdziwym dostawcą przez znany kanał. Firma powinna sprawdzić, czy oszust nie zmienił danych kontrahenta w systemie oraz czy podobne dyspozycje nie trafiły do innych pracowników.

Szkodliwą domenę można zgłosić do CERT Polska. Jeżeli doszło do straty finansowej, potrzebne jest również szybkie zgłoszenie do banku i organów ścigania.

Co to oznacza dla firm w Polsce

Polskie firmy transportowe, spedycyjne, portowe, stocznie i dostawcy wyposażenia pracują w międzynarodowych łańcuchach dostaw. Korespondencja może pochodzić z wielu domen, języków i stref czasowych. To utrudnia ocenę, czy nowy nadawca rzeczywiście uczestniczy w procesie.

Dlatego ochrona nie może opierać się na poleceniu, aby pracownik po prostu rozpoznawał fałszywe domeny. Potrzebuje on dostępu do wiarygodnych danych kontrahenta i jasnej procedury zatrzymania procesu. Organizacja powinna z góry określić, kto potwierdza nowego dostawcę, zmianę domeny, zmianę rachunku oraz nietypowy format dokumentu.

Program security awareness może wspierać ten model, jeżeli ćwiczy realne decyzje pracowników zakupów, logistyki i księgowości. Scenariusz powinien sprawdzać, czy osoba weryfikuje dostawcę drugim kanałem, zgłasza archiwum i nie omija procedury pod presją czasu.

Testy phishingowe dla firm mogą odwzorować podobny proces bez używania prawdziwego malware. Miarą nie powinno być wyłącznie kliknięcie. Istotne są również zgłoszenie, zatrzymanie zmiany danych i użycie właściwego kanału potwierdzenia.

Podsumowanie

Siedem ujawnionych domen to tylko widoczny fragment kampanii. Większe znaczenie ma sposób, w jaki zostały wykorzystane: jako wiarygodne tożsamości dostawców w korespondencji dopasowanej do transportu morskiego.

RedLine doprowadził analityków do infrastruktury, ale wiadomości dostarczały FormBook. Atak łączył techniczne elementy kampanii malware z manipulacją procesem biznesowym. Skuteczna reakcja wymaga więc współpracy SOC, administratorów poczty, zakupów, logistyki i księgowości.

Organizacja powinna traktować domenę dostawcy jak dane wymagające zatwierdzenia, a nie jak informację przepisywaną z wiadomości. Jeżeli chcesz omówić scenariusze ćwiczeń dla procesów dostaw, płatności i obsługi załączników, skorzystaj z kontaktu z PHISHLY.

Najczęstsze pytania

Na czym polegał phishing wymierzony w sektor morski?

Atakujący podszywali się pod firmy z łańcucha dostaw, używali wiarygodnie brzmiących domen i wysyłali ukierunkowane wiadomości z archiwami ZIP. Uruchomienie zawartości mogło prowadzić do infekcji FormBook i kradzieży danych.

Czy RedLine był złośliwym plikiem wysyłanym w tych wiadomościach?

Nie taki wniosek wynika z opublikowanej analizy. Serwer RedLine był punktem startowym dochodzenia, natomiast wiadomości powiązane z kampanią dostarczały FormBook.

Jak rozpoznać fałszywą domenę dostawcy?

Trzeba porównać pełną domenę z danymi zapisanymi w systemie dostawców, sprawdzić historię kontaktu i potwierdzić nietypową wiadomość przez znany wcześniej numer lub portal. Sama poprawna nazwa nadawcy nie potwierdza tożsamości.

Co zrobić po otwarciu podejrzanego załącznika od dostawcy?

Należy przerwać pracę na urządzeniu, zgłosić incydent do IT lub SOC, zachować wiadomość, odizolować komputer zgodnie z procedurą i sprawdzić konta używane na tym urządzeniu. Haseł nie należy zmieniać z potencjalnie zainfekowanego komputera.

Źródła

  1. The RedLine Thread That Led to a Maritime BEC Infrastructure ClusterŹródło pierwotne VMRay opisujące przejście od pojedynczego serwera C2 do infrastruktury phishingowej, wiadomości i fałszywych domen dostawców.
  2. RedLine C2 Pivot Reveals Seven Fraudulent Domains Used in Maritime Phishing AttacksRelacja zawierająca przebieg kampanii, datowanie próbek oraz opublikowany zestaw wskaźników kompromitacji.
  3. Phishing: Spearphishing Attachment, T1566.001Klasyfikacja ukierunkowanego phishingu wykorzystującego złośliwy załącznik według MITRE ATT&CK.
  4. Malware Masquerades as Privacy ToolAnaliza opisująca możliwości RedLine Stealer związane z kradzieżą danych zapisanych w przeglądarkach.
  5. What is FormBook Malware?Opis możliwości FormBook, w tym kradzieży danych z przeglądarek, rejestrowania klawiszy i pobierania kolejnych plików.
  6. The cyber threat to marine transportationInstytucjonalna ocena zagrożeń dla transportu morskiego i organizacji wspierających łańcuch dostaw.
  7. Zgłoszenie domeny internetowej służącej do wyłudzania danychFormularz CERT Polska do zgłaszania szkodliwych domen i stron phishingowych.