Dağılmış Örümcek ve Cryptochameleon gibi gruplara gevşek bir şekilde bağlı olan Poisonseed olarak bilinen tehdit aktörü, çok faktörlü kimlik doğrulamayı (MFA) atlatmak için tasarlanmış aktif bir kimlik avı kitini ve bireylerden ve kuruluşlardan hasat kimlik bilgilerini kullandı.
Nisan 2025’ten bu yana faaliyet gösteren bu kit, büyük CRM ve Google, SendGrid ve MailChimp gibi toplu e -posta sağlayıcılarının giriş hizmetlerini hedefliyor ve saldırganların spam yayma ve kripto para dolandırıcılığı için e -posta altyapısını ele geçirmesini sağlıyor.
Poisonseed’in taktikleri, kurbanları, URL’ye şifreli bir kurban e-postasının eklendiği ve sunucu tarafı doğrulaması için bir çerez olarak depolandığı, “hassas validasyonlu kimlik” olarak adlandırılan bir yöntem olarak saklanan, kurbanları kimliğe bürünmüş alanlara yönlendiren gömülü kötü niyetli bağlantılara sahip mızrak aktı e-postaları içerir.
Zehirli tohum aktörden ortaya çıkan tehdit
Kit, şifrelenmiş e -postayı doğrulamak ve hedef hizmet tarafından yasaklanmadığından emin olmak için sahte bir Cloudflare Turnstile Challenge dahil olmak üzere meşru arayüzleri taklit eder.
Varlıklandırıldıktan sonra, mağdurlar, kimlik doğrulama kodları, SMS, e-posta kodları ve API Keys gibi çeşitli 2FA yöntemleri de dahil olmak üzere, kimlik doğrulama ayrıntılarını kesmek için otantik hizmete kimlik bilgilerini yakalayan ve aktaran giriş formlarıyla karşılaşır.
Nviso raporuna göre, bu, zehirli tohumun MFA korumalarını atlamasına, yetkisiz erişim kazanmasına ve kripto para cüzdanlarındaki tohum ifadesi manipülasyon saldırıları gibi daha fazla kötü niyetli etkinlikler için e -posta listelerinin çıkarılmasına izin verir.
React kullanılarak geliştirilen kimlik avı kiti, rota koruması için app.jsx, turnstilechallenge.jsx gibi bileşenlere sahip yapılandırılmış bir mimariye sahiptir.
Teknik döküm
Örneğin, kit, /check-e-posta ve /oturum açma gibi uç noktalara API çağrıları için Axios kullanır, oturum çerezlerini yakalarken verileri meşru hizmetlere aktarır.
HTTP durumlarına (örneğin, başarı için 200, işleme için 202) dayalı dinamik yeniden yönlendirmeyi destekler ve kesintisiz AITM işlemleri sağlar.
Altyapı analizi tutarlı kalıpları ortaya koymaktadır: Tüm alanlar, kötü niyetli faaliyetler için kötü şöhretli bir kayıt memuru olan Nicenic aracılığıyla kaydedilir ve öncelikle CloudFlare’de barındırılır ve De-Firstcolo ve SwissNetwork02 gibi ek sağlayıcılarla.
İsim sunucuları Cloudflare ve Bunny.net’ten yararlanarak gizlemeyi kolaylaştırır. Avlanma fırsatları, API dosya adlarını, URL parametrelerini ve çerez adlarını hedefleyen urlScan sorgularını, belirli alanlardan yoksun alan adları ve Mart 2025 sonrası kayıtlı alanlar için silentpush whois taramaları içerir.
Önleme stratejileri, FIDO2 tuşları gibi kimlik avına dayanıklı MFA’nın benimsenmesini, SMS gibi savunmasız yöntemlerin ortadan kaldırılmasını ve şüpheli girişler ve dökme ihracat için anomali tespitinin arttırılmasını vurgulamaktadır.
Poisonse tohumu gelişmeye devam ettikçe, “COM” topluluğunun TTP’leri ile uyumlu olarak, kuruluşlar bu MFA bypassing tehditlerini azaltmak için kullanıcı farkındalığını ve sağlam izlemeye öncelik vermelidir.
Uzlaşma göstergeleri
| Alan örneği |
|---|
| Cihaz-Sendrid[.]com |
| Sidgrid Gezin[.]com |
| https-sendgrid[.]com |
| ağ çizgisi[.]com |
| SSO-SendGridNetwork[.]com |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!