Атака PoisonSeed: поддельные домены SendGrid крадут корпоративные учетные данные
Недавние расследования выявили серию новых вредоносных доменов, зарегистрированных с 1 июня 2025 года, которые, по оценке экспертов, связаны с актором электронной преступности PoisonSeed. Эти ресурсы в основном имитируют легитимную платформу электронной почты SendGrid и используют поддельные промежуточные элементы Cloudflare CAPTCHA, чтобы повысить доверие жертвы перед перенаправлением на страницы фишинга.
Что обнаружено
Аналитики отмечают следующие ключевые характеристики обнаруженных доменов и их поведения:
- Регистрация новых доменов началась с 1 июня 2025 года.
- Доменная инфраструктура имитирует бренд SendGrid, включая оформление сообщений и URL.
- На промежуточных страницах отображается поддельная Cloudflare CAPTCHA, после чего пользователи перенаправляются на фишинговые формы.
- Основная цель — компрометация корпоративных учетных данных клиентов SendGrid.
История и связи: PoisonSeed и SCATTERED SPIDER
PoisonSeed был впервые идентифицирован в апреле 2025 года; тогда отчеты описывали его использование доменов фишинга SendGrid для кражи криптовалюты. В мае 2025 года группа по исследованию угроз Mimecast опубликовала разбор схожей тактики: злоумышленники выдавали себя за поставщиков услуг (включая SendGrid) и рассылали мошеннические уведомления с целью сбора учетных данных.
Некоторые из наблюдаемых TTP (тактик, методов и процедур) указывают на пересечения с действиями другого актора, известного как SCATTERED SPIDER, который с 2022 года специализируется на финансовых преступлениях. Несмотря на то что текущая активность в первую очередь приписывается PoisonSeed (по характеру регистрации доменов и применению поддельной капчи), сохраняется возможность исторической связи между группами — от совместного использования инфраструктуры до обмена тактиками.
«Главной целью этих кампаний является кража корпоративных учетных данных, которые затем используются для дальнейших атак — фишинга, перемещения внутри сети и компрометации финансовых активов.»
Чего ожидать и какие риски для компаний
Последствия успешных атак включают:
- кражу учетных данных корпоративных пользователей;
- организацию последующих фишинговых кампаний от имени скомпрометированных почтовых аккаунтов;
- возможность lateral movement и дальнейшего доступа к внутренним ресурсам организации;
- кражу криптовалют, данных клиентов и вымогательство.
Рекомендации для защиты
Организациям и администраторам стоит принять следующие меры для минимизации риска:
- Включить многофакторную аутентификацию (MFA) для всех критичных корпоративных учетных записей.
- Обеспечить корректную настройку SPF, DKIM и DMARC для доменов электронной почты.
- Проводить регулярное обучение сотрудников по распознаванию фишинга и проверке URL/доменов отправителей.
- Блокировать и мониторить подозрительные домены; добавлять обнаруженные IoC в систему безопасности (SIEM, EDR, прокси).
- Настроить детектирование аномальной аутентификации и активностей (повышенные неудачные входы, доступ из необычных геолокаций).
- Проверять промежуточные страницы, имитирующие проверки (например, Cloudflare CAPTCHA), и предупреждать пользователей о возможной подмене.
- При подозрении на компрометацию — немедленно изолировать учетную запись, сбросить пароли и провести форензик-расследование.
- Сообщать о мошеннических рассылках поставщикам услуг (например, SendGrid) и соответствующим ведомствам.
Вывод
Текущее развитие событий демонстрирует, что акторы типа PoisonSeed продолжают эволюцию проверенных техник социальной инженерии и технической подделки доверенных сервисов (включая использование поддельной Cloudflare CAPTCHA) для кражи корпоративных учетных данных и дальнейшего продвижения по сетям жертв. Уязвимые организации рискуют не только потерять данные, но и подвергнуться финансовым потерям и дальнейшим цепочкам атак. Своевременные профилактические меры, мониторинг и обучение сотрудников остаются ключом к снижению рисков.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
