Эксперты DomainTools обнаружили новую серию вредоносных доменов, зарегистрированных с 1 июня 2025 года, которые, вероятно, связаны с киберпреступной группировкой PoisonSeed. Основная цель злоумышленников - компрометация корпоративных учетных данных клиентов платформы SendGrid через фишинговые атаки. Для придания достоверности домены используют поддельные страницы Cloudflare CAPTCHA, после которых пользователи перенаправляются на мошеннические ресурсы.
Описание
PoisonSeed, впервые идентифицированный в апреле 2025 года, нацелен на криптовалютные платформы и корпоративные среды. Его тактики, методы и процедуры (TTPs) демонстрируют сходство с методологией группировки SCATTERED SPIDER, которая недавно атаковала ритейлеров, страховые компании и авиаперевозчиков в США, Великобритании и Канаде, вызывая значительные операционные сбои. Прямых доказательств связи новых доменов с атаками на эти секторы пока нет, однако сходство TTPs вызывает серьёзную озабоченность.
Согласно отчетам Mimecast, опубликованным в мае 2025 года, PoisonSeed использует домены, имитирующие SendGrid и другие сервисы, для рассылки фиктивных уведомлений. Ключевым элементом кампании является применение фальшивых страниц Cloudflare с поддельными Ray ID. Домены регистрируются через NiceNIC International Group Co., а их имена часто содержат отсылки к SendGrid, SSO (единый вход) и логин-порталам. Хостинг осуществляется на IP-адресах провайдера Global-Data System IT Corporation (AS42624).
С 1 июня 2025 года обнаружено 21 домен, соответствующий указанным критериям. Большинство из них reference SendGrid, а остальные были размещены на тех же IP-адресах, что и домены-имитации, и ссылались на общие цифровые сервисы. Анализ через URLScan.io подтвердил наличие поддельных CAPTCHA-страниц и фальшивых Ray ID. Примеры доменов включают mysandgrid[.]com, https-sglogin[.]com и sgsettings[.]live.
Хотя Mimecast изначально приписывал данную активность SCATTERED SPIDER, текущее исследование указывает на PoisonSeed как на наиболее вероятного исполнителя. Однако возможно, что PoisonSeed имеет исторические или текущие связи с SCATTERED SPIDER или с коллективом «The Com», известным разнородным составом и изменчивой структурой. Ранние операции SCATTERED SPIDER включали смс-фишинг, SIM-своппинг и MFA-утомление, но со временем группа могла пополниться новыми членами с навыками целевого социального инжиниринга и связями с операторами программ-вымогателей (ransomware).
Обнаруженная инфраструктура подчёркивает продолжение активности PoisonSeed и адаптацию тактик, ранее ассоциировавшихся с SCATTERED SPIDER. Эти действия направлены на кражу учётных данных для последующих фишинговых кампаний, хищения криптовалюты, кражи данных и шантажа. Команда DomainTools опубликовала список из нескольких сотен доменов с аналогичными характеристиками на GitHub для дальнейшего анализа и охоты за угрозами.
Индикаторы компрометации
IPv4
- 185.196.10.54
- 185.208.156.46
- 86.54.42.106
Domains
- aws-us3.com
- aws-us4.com
- aws-us5.com
- executiveteaminvite.com
- grid-sendlogin.com
- https-loginsg.com
- https-sendgrid.info
- https-sglogin.com
- https-sgpartners.info
- https-sgportal.com
- internal-sendgrid.com
- loginportalsg.com
- mysandgrid.com
- securehttps-sgservices.com
- server-sendlogin.com
- sgaccountsettings.com
- sgportalexecutive.org
- sgsettings.live
- sso-sendgridnetwork.com
- terminateloginsession.com
- usportalhelp.com
