Son aylarda, siber güvenlik araştırmacıları, zehirli tohum olarak bilinen gelişmekte olan bir e-suç grubuna bağlı kötü niyetli alan kayıtlarında bir artış gözlemlediler.
İlk olarak Nisan 2025’te tanımlanan bu aktör, çabalarını meşru bulut tabanlı e-posta platformlarının, özellikle de Sendgrid’in kurumsal kimlik bilgilerini hasat etmeye yönlendirmeye odakladı.
Sahte Cloudflare captcha interstitials ve Ray ID verilerini kimlik avı altyapılarına yerleştirerek, Poisonseed, editör tespitlerinden kaçınmayı ve şüpheli olmayan hedefleri teslim edici giriş bilgilerine çekmeyi başardı.
DoDaintools analistleri, Haziran ve Eylül 2025 arasında, Poisonseed’in Sendgrid’in oturum açma portallarını yakından taklit eden yirmi alandan fazla kayıt yaptığını kaydetti.
Bu alanlar genellikle Global-Data System IT Corporation’a (AS42624) atanan ve gevşek doğrulama süreçleri için inceleme çeken bir kayıt şirketi olan Nicenic International Group Co. aracılığıyla kayıtlı IP aralıklarında barındırıldı.
Araştırmacılar, “SGPortalExecutive gibi ince yazımları ve ek yol yapıları belirlediler[.]com ”ve“ iç-sendrid[.]com ” – Hem kullanıcı güveni hem de otomatik tarama araçlarından yararlanmak için tasarlanmıştır.
Poisonseed’in kampanyasının etkisi, basit kimlik hırsızlığının ötesine uzanıyor. Kurumsal kimlik bilgileri tehlikeye atıldıktan sonra, aktör erişimi genişletmek için kurumsal ortamlardaki yanal hareket tekniklerini dağıtır.
Bu ilerleme, veri açığa çıkmasına, hileli fon transferlerine ve hatta fidye yazılımı dağıtımına yol açabilir.
Bildirilmeyen bir olayda, zehirli tohum, yüksek değerli hedeflere iç kimlik avı davetiyeleri göndermek için hasat edilmiş kimlik bilgilerini kaldırdı ve sonuçta hassas finansal verileri sifonladı.
Bu kampanyaların karmaşıklığına rağmen, tespit kaçakçılığı zehirli tohum için temel bir odak noktası olmaya devam etmektedir.
Sahte JavaScript tabanlı Captcha mantığını ve dinamik olarak oluşturulan Ray ID’lerini entegre ederek grup, her bir interstisyel’in benzersiz görünmesini sağlar.
Dahası, meşru görünümlü alanlarda birlikte barındırma kullanımı, olay müdahale ekiplerinin kötü niyetli altyapıyı izole etmesini geciktirerek ek bir gizlilik katmanı ekler.
Enfeksiyon mekanizması ve tespit kaçakçılığı
Zehirli tohum enfeksiyon mekanizmasının daha yakından incelenmesi, insan güveni ve otomatik filtreleme zayıflıklarından yararlanan çok aşamalı bir süreci ortaya koymaktadır.
İlk aşamada, kurbanlar, meşru görünümlü başlıklar ve izleme bağlantıları ile tamamlanan Sendgrid’den kaynaklandığını iddia eden bir e-posta alır.
Hedef bağlantıyı tıkladığında, otantik görünen bir Captcha Challenge sayfasına yönlendirilir.
Poisonseed, özgünlük yanılsamasını korumak için sahte oturum belirteçlerini yerleştirir. Doğrulamayı takiben, kullanıcılara sendgrid kimlik bilgilerini isteyen ikinci bir form sunulur.
Bu noktada aktör, kurbanı meşru Sendgrid giriş sayfasına iletmeden önce gönderilen verileri yakalar ve şüpheyi en aza indirir.
Zincirli yönlendirmelerin ve komut dosyası gizlemesinin kullanılması, geleneksel URL blok listelerinin ve imza tabanlı savunmaların hızla değişen alan altyapısına ayak uydurmak için mücadele etmesini sağlar.
Sürekli olarak dönen alan adları ve tehlikeye atılan barındırma ortamlarından yararlanarak, Poisonse tohumu, gelişmiş tehdit istihbaratı ve proaktif izleme gerektiren esnek bir kimlik avı operasyonunu etkili bir şekilde karşı koymak için sürdürür.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.