最近几个月,网络安全研究人员发现与新兴电子犯罪集团 PoisonSeed 相关的恶意域名注册数量激增。
该组织于 2025 年 4 月首次被发现,其主要活动是冒充合法的基于云的电子邮件平台(最著名的是 SendGrid),以获取企业凭证。
通过将虚假的 Cloudflare CAPTCHA 插页广告和 Ray ID 数据嵌入其网络钓鱼基础设施,PoisonSeed 成功逃避了粗略的检测,并引诱毫无戒心的目标交出登录信息。
Domaintools 分析师指出,2025 年 6 月至 9 月期间,PoisonSeed 注册了超过 20 个与 SendGrid 登录门户非常相似的域名。
这些域名通常托管在分配给 Global-Data System IT Corporation(AS42624)的 IP 范围内,并通过 NiceNIC International Group Co. 注册,该注册商因其松懈的验证流程而受到审查。
研究人员发现了细微的拼写错误和额外的路径结构,例如“sgportalexecutive[.]com”和“internal-sendgrid[.]com”,旨在利用用户信任和自动筛选工具。
PoisonSeed 攻击活动的影响远不止简单的凭证窃取。一旦企业凭证被窃取,攻击者就会在企业环境中部署横向移动技术来扩大访问权限。
这种进展可能导致数据泄露、欺诈性资金转移,甚至勒索软件部署。
在一次未报告的事件中,PoisonSeed 利用收集到的凭证向高价值目标发送内部网络钓鱼邀请,最终窃取敏感的财务数据。
尽管这些活动非常复杂,但逃避检测仍然是 PoisonSeed 的核心关注点。
通过集成基于 JavaScript 的虚假CAPTCHA逻辑和动态生成的 Ray ID,该组织确保每个插页广告看起来都是唯一的。
此外,他们在看似合法的域名上使用共同托管增加了额外的隐秘层,延迟了事件响应团队隔离恶意基础设施。
感染机制和检测规避
仔细检查 PoisonSeed 的感染机制,可以发现它是一个利用人类信任和自动过滤弱点的多阶段过程。
在初始阶段,受害者会收到一封声称来自 SendGrid 的电子邮件,其中包含看似合法的标题和跟踪链接。
当目标点击链接时,他们会被重定向到看似真实的 CAPTCHA 挑战页面。
PoisonSeed 会嵌入伪造的会话令牌,以维持真实性的假象。验证完成后,系统会向用户显示第二个表单,要求其提供 SendGrid 凭证。
此时,攻击者会捕获已提交的数据,然后将受害者转发到合法的 SendGrid 登录页面,以最大限度地减少怀疑。
链式重定向和脚本混淆的使用确保传统的 URL 阻止列表和基于签名的防御难以跟上快速变化的域基础设施。
通过不断轮换域名和利用受损的托管环境,PoisonSeed 维持着有弹性的网络钓鱼操作,需要先进的威胁情报和主动监控才能有效应对。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
