PoisonSeed钓鱼攻击链示意图 | 图片来源:NVISO
网络安全公司NVISO最新调查报告揭露了高级威胁组织PoisonSeed的作案手法,其技术特征与Scattered Spider、CryptoChameleon等犯罪团伙高度相似。该组织通过"中间人攻击"(Adversary-in-the-Middle,AitM)技术武装的钓鱼工具包,成功突破多因素认证(MFA)防护,实施大规模凭证窃取与加密货币诈骗活动。
NVISO警告称:"PoisonSeed利用该钓鱼工具包获取个人及企业凭证,进而劫持邮件基础设施用于群发邮件、获取邮件列表,最终扩大加密货币相关垃圾邮件的传播范围。"
精准验证钓鱼系统
PoisonSeed攻击体系的核心在于其"精准验证钓鱼系统"。每个钓鱼URL都会以加密形式嵌入受害者邮箱地址,该信息同时以Cookie形式存储并在服务器端验证,之后才会显示登录表单。受害者首先会遇到伪造的Cloudflare Turnstile验证环节——这是用于确认目标邮箱真实性的精心设计。
NVISO解释称:"受害者邮箱地址会被附加在钓鱼工具包的URL中,同时以加密格式存储为Cookie并在服务器端验证。"若验证失败,用户将被重定向至Google页面,有效筛除非目标人群。
钓鱼攻击流程
攻击始于伪装成Google、SendGrid或Mailchimp等CRM/邮件服务商的鱼叉式钓鱼邮件。"发送权限受限"等主题旨在诱发紧急操作。邮件内嵌链接会跳转至通过NICENIC注册商注册的PoisonSeed控制域名,这些页面高度仿冒正规登录门户。
当受害者输入凭证时,该工具包会作为AitM代理实时转发登录数据和MFA信息至真实服务。其支持多种认证方式,包括验证器应用代码、短信验证码、邮件验证码甚至API密钥。这使得PoisonSeed能获取认证Cookie,完全绕过MFA获得账户完全控制权。
反检测基础设施
PoisonSeed的基础设施选择明显旨在规避检测:
- 域名注册:所有钓鱼域名均通过NICENIC注册,该注册商在Spamhaus恶意域名统计中名列前茅
- 主机托管:多数域名使用Cloudflare进行IP混淆,其次选用被Spamhaus ASN-DROP名单标记的DE-Firstcolo和SWISSNETWORK02
- 域名解析:名称服务器分散部署于Cloudflare和Bunny.net
这些措施显著延缓了关停进度并增加了溯源难度。
加密货币诈骗终局
被窃取的邮件基础设施最终服务于加密货币诈骗。NVISO指出,PoisonSeed垃圾邮件的接收者会遭遇"加密货币助记词篡改攻击",诱骗受害者在创建新钱包时使用攻击者提供的恢复短语,从而使其资金直接暴露于攻击者控制之下。
该活动已涉及多起重大安全事件,包括安全研究员Troy Hunt的Mailchimp邮件列表失窃事件,以及Coinbase假钱包迁移通知钓鱼计划。