Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Атака PoisonSeed: поддельные домены SendGrid крадут корпоративные учетные данные

3 мин
Недавние расследования выявили серию новых вредоносных доменов, зарегистрированных с 1 июня 2025 года, которые, по оценке экспертов, связаны с актором электронной преступности PoisonSeed. Эти ресурсы в основном имитируют легитимную платформу электронной почты SendGrid и используют поддельные промежуточные элементы Cloudflare CAPTCHA, чтобы повысить доверие жертвы перед перенаправлением на страницы фишинга. Аналитики отмечают следующие ключевые характеристики обнаруженных доменов и их поведения: PoisonSeed был впервые идентифицирован в апреле 2025 года; тогда отчеты описывали его использование доменов фишинга SendGrid для кражи криптовалюты. В мае 2025 года группа по исследованию угроз Mimecast опубликовала разбор схожей тактики: злоумышленники выдавали себя за поставщиков услуг (включая SendGrid) и рассыла­ли мошеннические уведомления с целью сбора учетных данных. Некоторые из наблюдаемых TTP (тактик, методов и процедур) указывают на пересечения с действиями другого актора, известного
Оглавление

Недавние расследования выявили серию новых вредоносных доменов, зарегистрированных с 1 июня 2025 года, которые, по оценке экспертов, связаны с актором электронной преступности PoisonSeed. Эти ресурсы в основном имитируют легитимную платформу электронной почты SendGrid и используют поддельные промежуточные элементы Cloudflare CAPTCHA, чтобы повысить доверие жертвы перед перенаправлением на страницы фишинга.

Что обнаружено

Аналитики отмечают следующие ключевые характеристики обнаруженных доменов и их поведения:

  • Регистрация новых доменов началась с 1 июня 2025 года.
  • Доменная инфраструктура имитирует бренд SendGrid, включая оформление сообщений и URL.
  • На промежуточных страницах отображается поддельная Cloudflare CAPTCHA, после чего пользователи перенаправляются на фишинговые формы.
  • Основная цель — компрометация корпоративных учетных данных клиентов SendGrid.

История и связи: PoisonSeed и SCATTERED SPIDER

PoisonSeed был впервые идентифицирован в апреле 2025 года; тогда отчеты описывали его использование доменов фишинга SendGrid для кражи криптовалюты. В мае 2025 года группа по исследованию угроз Mimecast опубликовала разбор схожей тактики: злоумышленники выдавали себя за поставщиков услуг (включая SendGrid) и рассыла­ли мошеннические уведомления с целью сбора учетных данных.

Некоторые из наблюдаемых TTP (тактик, методов и процедур) указывают на пересечения с действиями другого актора, известного как SCATTERED SPIDER, который с 2022 года специализируется на финансовых преступлениях. Несмотря на то что текущая активность в первую очередь приписывается PoisonSeed (по характеру регистрации доменов и применению поддельной капчи), сохраняется возможность исторической связи между группами — от совместного использования инфраструктуры до обмена тактиками.

«Главной целью этих кампаний является кража корпоративных учетных данных, которые затем используются для дальнейших атак — фишинга, перемещения внутри сети и компрометации финансовых активов.»

Чего ожидать и какие риски для компаний

Последствия успешных атак включают:

  • кражу учетных данных корпоративных пользователей;
  • организацию последующих фишинговых кампаний от имени скомпрометированных почтовых аккаунтов;
  • возможность lateral movement и дальнейшего доступа к внутренним ресурсам организации;
  • кражу криптовалют, данных клиентов и вымогательство.

Рекомендации для защиты

Организациям и администраторам стоит принять следующие меры для минимизации риска:

  • Включить многофакторную аутентификацию (MFA) для всех критичных корпоративных учетных записей.
  • Обеспечить корректную настройку SPF, DKIM и DMARC для доменов электронной почты.
  • Проводить регулярное обучение сотрудников по распознаванию фишинга и проверке URL/доменов отправителей.
  • Блокировать и мониторить подозрительные домены; добавлять обнаруженные IoC в систему безопасности (SIEM, EDR, прокси).
  • Настроить детектирование аномальной аутентификации и активностей (повышенные неудачные входы, доступ из необычных геолокаций).
  • Проверять промежуточные страницы, имитирующие проверки (например, Cloudflare CAPTCHA), и предупреждать пользователей о возможной подмене.
  • При подозрении на компрометацию — немедленно изолировать учетную запись, сбросить пароли и провести форензик-расследование.
  • Сообщать о мошеннических рассылках поставщикам услуг (например, SendGrid) и соответствующим ведомствам.

Вывод

Текущее развитие событий демонстрирует, что акторы типа PoisonSeed продолжают эволюцию проверенных техник социальной инженерии и технической подделки доверенных сервисов (включая использование поддельной Cloudflare CAPTCHA) для кражи корпоративных учетных данных и дальнейшего продвижения по сетям жертв. Уязвимые организации рискуют не только потерять данные, но и подвергнуться финансовым потерям и дальнейшим цепочкам атак. Своевременные профилактические меры, мониторинг и обучение сотрудников остаются ключом к снижению рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Атака PoisonSeed: поддельные домены SendGrid крадут корпоративные учетные данные".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются