E -posta dağıtım platformu Sendgrid’i taklit edin ve şüphesiz kullanıcıları kimlik bilgisi hasat sayfalarına yönlendirmeden önce meşruiyet ödünç vermek için sahte Cloudflare captcha interstitials kullanın.
1 Haziran 2025’ten bu yana, Domaintools soruşturmaları, Ecrime aktörünün zehirli tohum olarak bilinen ayırt edici özelliklerini sergileyen yeni kayıtlı 21 alan belirledi.
Belirli kurbanlar doğrulanmamış olsa da, Poisonseed’in kripto para platformlarına ve işletme ortamlarına tarihsel odaklanması, ortaya çıkan bu altyapıyı izleme aciliyetinin altını çizmektedir.
Söz konusu alanlar Nicenic International Group Co. Kayıt Şirketi’nden kaydedildi ve Global-Data System IT Corporation’a (AS42624) atanan IP adreslerinde barındırıldı.
Çoğu isim SendGrid’e doğrudan referanslar içerirken, bir avuç tek oturum açma portalları ve oturum açma sayfaları gibi daha genel dijital hizmetleri çağırır.
Örnekler arasında HTTPS-LoGinsg[.]com, sgaccountsettings[.]com ve benim[.]com. Bu alanların kısmi bir listesi aşağıda görünür:
| Alan adı | Hosting IP |
|---|---|
| AWS-US3[.]com | 185.208.156.46 |
| Giriş Portalları[.]com | 86.54.42.106 |
| ExecubRanetteamInvite[.]com | 185.196.10.54 |
| https-sgpartners[.]bilgi | 185.208.156.46 |
| benim[.]com | 86.54.42.106 |
DoDaintools araştırmacıları, tehdit avcıları ve analistleri keşfetmek için GitHub depolarına aynı kaydı ve barındırma kalıplarını paylaşan birkaç yüz alandan daha dolgun bir liste yüklediler.
Sahte captcha interstitials
Poisonseed’in Modus Operandi’nin anahtarı, sahte Cloudflare captcha zorluklarının sunumudur.
Bu kötü niyetli alanların ziyaretçileri, fabrikasyonlu ışın kimlik dizeleri ile tamamlanan meşru Cloudflare Ray Kimliği doğrulama ekranlarını taklit eden interstisyel sayfalarla karşılaşır.
Bu taktik, hedefleri kurumsal kimlik bilgilerini talep eden kimlik avı sitelerine huni yapmadan önce ortak bir güvenlik önlemini simüle ederek kullanıcı şüphesinin üstesinden gelmeyi amaçlamaktadır.
UrlScan.io aracılığıyla analiz, yeni keşfedilen alanların çoğunun Mayıs 2025’ten itibaren Mimecast Tehdit Araştırma Blogunda belgelenenlere özdeş interstisyaller sunduğunu doğruladı.
Kimlik bilgileri toplandıktan sonra, zehirli tohum operatörleri bunları takip eden kimlik avı kampanyaları, tehlikeye atılan kurumsal ortamlarda yanal hareket veya kripto para birimi hesaplarına yetkisiz erişim için kullanabilirler.
Geçmiş kampanyalar, büyük ölçekli kripto para birimi gasp yürütmek için Sendgrid temalı kimlik avından yararlandı ve aktörün marka taklit edilmesini sosyal mühendislik ile harmanlamadaki yeterliliğini gösterdi.
Poisonseed’in taktikleri, teknikleri ve prosedürleri (TTP’ler), dağınık örümcek düşman grubuna kamuya atfedilenleri yakından yansıtır.
ABD, İngiltere ve Kanada’daki perakendecilere, bakkal zincirlerine, sigorta sağlayıcılarına ve havayollarına karşı son zamanlarda yüksek profilli dağınık örümcek olayları iş kesintisi ve veri hırsızlığı nedeniyle medyanın dikkatini çekti.
DoDaintools, yeni zehirlenen alanları bu sektör ihlallerine bağlayan doğrudan bir kanıt bulamasa da, sahte captcha interstisials’ın paylaşılan kullanımı, benzer alan adlandırma kuralları ve kayıt kalıpları, zehirlenen ve dağınık örümcek arasında en azından bir operasyonel bağlılık olduğunu düşündürmektedir.
Dağınık örümceğin, “Com” kolektifinin bir parçası olduğu bilinmektedir, smaching, Sim-Swap dolandırıcılığı ve MFA-yorgan saldırıları konusunda uzmanlaşmış finansal olarak motive olmuş siber suçluların akışkan bir konsorsiyumu.
Üyelik cirosu ve “com” arasındaki işbirliği, Poisonseed’in dağınık örümcek benzeri teknikleri benimsemesini açıklayabilir.
Alternatif olarak, eski dağınık örümcek operatörleri, çekirdek TTP’leri yeni kampanyalara taşıyan zehirli tohum oluşturmak için parçalanmış olabilir.
Değerlendirme ve öneriler
Bu zehirli tohum altyapısının keşfi, Ecrime aktörlerinin kimlik bilgisi hasatında gelişen sofistike olmasını vurgulamaktadır. Güvenlik ekipleri:
- Sendgrid veya SSO referanslarını içeren nikenik kayıtlı alanları izleyin.
- Tanınmayan alanlardan kaynaklanan Cloudflare captcha interstitials için gelen trafiği analiz edin.
- Bilinen zehirli tohum alanlarını ve ilişkili IP adreslerini blok veya düden.
- Captcha taklitine odaklanan çok faktörlü kimlik doğrulama politikalarını ve kullanıcı farkındalık eğitimi uygulayın.
Devam eden tehdit istihbarat paylaşımı ve işbirlikçi avcılık, Poisonseed’in kurumsal kimlik bilgilerini tehlikeye atma ve aşağı yönlü etkiyi sınırlama girişimlerini azaltmak için kritik olacaktır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.