Kẻ đe dọa được biết đến với tên gọi PoisonSeed, có liên hệ lỏng lẻo với các nhóm như Scattered Spider và CryptoChameleon, đã triển khai một bộ công cụ lừa đảo tích cực được thiết kế để vượt qua xác thực đa yếu tố (MFA) và thu thập thông tin đăng nhập từ các cá nhân và tổ chức. Đây được xem là một mối đe dọa mạng đặc biệt nguy hiểm trong bối cảnh an ninh thông tin hiện nay.

Bộ công cụ này, đã đi vào hoạt động từ tháng 4 năm 2025, nhắm mục tiêu vào các dịch vụ đăng nhập của các nhà cung cấp CRM và email hàng loạt lớn như Google, SendGrid và Mailchimp. Mục tiêu chính là cho phép kẻ tấn công chiếm đoạt cơ sở hạ tầng email hợp pháp, từ đó sử dụng chúng cho mục đích phát tán thư rác quy mô lớn và thực hiện các vụ lừa đảo tiền điện tử tinh vi. Đây là một mối đe dọa mạng liên tục và đáng báo động.

Phân tích chi tiết về Tấn công mạng của PoisonSeed

Chiến thuật của PoisonSeed bao gồm việc gửi email lừa đảo spear-phishing với các liên kết độc hại được nhúng, chuyển hướng nạn nhân đến các tên miền mạo danh. Tại đây, một email nạn nhân đã được mã hóa sẽ được nối vào URL và lưu trữ dưới dạng cookie để xác thực phía máy chủ, một phương pháp được mệnh danh là “Precision-Validated Phishing”.

Bộ công cụ này mô phỏng các giao diện hợp pháp một cách tỉ mỉ, bao gồm một thử thách Cloudflare Turnstile giả mạo, nhằm xác minh email đã mã hóa và đảm bảo rằng nó không bị dịch vụ mục tiêu cấm. Một khi được xác thực, nạn nhân sẽ đối mặt với các biểu mẫu đăng nhập được thiết kế để thu thập và chuyển tiếp thông tin đăng nhập ngay lập tức đến dịch vụ xác thực đích. Điều này cho phép bộ công cụ hoạt động như một Adversary-in-the-Middle (AitM), chặn và chiếm giữ các chi tiết xác thực quan trọng, bao gồm nhiều phương pháp 2FA khác nhau như mã xác thực từ ứng dụng, mã SMS, mã gửi qua email, và thậm chí cả các khóa API. Đây là một ví dụ điển hình về mối đe dọa mạng tinh vi và có khả năng gây thiệt hại lớn.

Chiếm quyền điều khiển và Vượt qua MFA

Theo báo cáo chuyên sâu của Nviso, cơ chế AitM này là yếu tố then chốt cho phép PoisonSeed vượt qua các biện pháp bảo vệ MFA truyền thống, từ đó giành quyền truy cập trái phép vào các tài khoản mục tiêu. Sau khi truy cập thành công, kẻ tấn công có thể tự động trích xuất danh sách email lớn cho các hoạt động độc hại hơn, chẳng hạn như các cuộc tấn công thao túng cụm từ khôi phục ví tiền điện tử (seed phrase manipulation attacks). Khả năng chiếm quyền điều khiển tài khoản người dùng thông qua việc bypass MFA là một rủi ro bảo mật nghiêm trọng mà các tổ chức phải đối mặt trong thời đại số. Thông tin chi tiết về các kỹ thuật được sử dụng có thể được tìm thấy tại báo cáo của Nviso.

Kiến trúc kỹ thuật của Bộ công cụ

Được phát triển bằng thư viện giao diện người dùng React, bộ công cụ lừa đảo này sở hữu một kiến trúc có cấu trúc rõ ràng với các thành phần chuyên biệt. Các thành phần chính bao gồm App.jsx chịu trách nhiệm bảo vệ tuyến đường và quản lý điều hướng, TurnstileChallenge.jsx xử lý quy trình xác minh bot ban đầu với các độ trễ chống tự động hóa được tích hợp, và các biểu mẫu chuyên biệt được thiết kế để xử lý quy trình đăng nhập và xác thực 2FA. Kiến trúc mô-đun này cho phép bộ công cụ hoạt động hiệu quả, thích ứng nhanh chóng và tăng cường mối đe dọa mạng mà nó gây ra.

Ví dụ, bộ công cụ sử dụng thư viện Axios để thực hiện các cuộc gọi API đến các điểm cuối như /check-email và /login. Dữ liệu thu thập được sẽ được chuyển tiếp một cách khéo léo đến các dịch vụ hợp pháp, đồng thời bộ công cụ sẽ thu thập các cookie phiên quan trọng. Nó cũng hỗ trợ chuyển hướng động dựa trên các trạng thái HTTP (ví dụ: mã trạng thái 200 OK cho thành công, 202 Accepted cho đang xử lý), đảm bảo các hoạt động AitM diễn ra một cách liền mạch và khó bị phát hiện.

Phân tích hạ tầng và Cơ hội Phát hiện

Phân tích hạ tầng của PoisonSeed tiết lộ các mô hình nhất quán và đáng chú ý: tất cả các tên miền liên quan đến chiến dịch này đều được đăng ký thông qua NICENIC, một nhà đăng ký có tiếng xấu vì liên quan đến nhiều hoạt động độc hại. Hầu hết các tên miền này được lưu trữ chủ yếu trên Cloudflare, với sự hỗ trợ từ các nhà cung cấp bổ sung như DE-Firstcolo và SWISSNETWORK02. Việc sử dụng các máy chủ định danh của Cloudflare và Bunny.net còn tạo điều kiện thuận lợi cho việc che giấu thông tin nguồn gốc, làm phức tạp đáng kể việc phát hiện và theo dõi mối đe dọa mạng này.

Các cơ hội săn tìm (hunting opportunities) hiệu quả để nhận diện hoạt động của PoisonSeed bao gồm các truy vấn URLScan được thiết kế để nhắm mục tiêu vào các tên tệp API đặc trưng, các tham số URL cụ thể và tên cookie độc đáo liên quan đến bộ công cụ. Ngoài ra, việc thực hiện các quét WHOIS của SilentPush cho các tên miền thiếu một số trường nhất định và được đăng ký sau tháng 3 năm 2025 cũng có thể giúp phát hiện các hoạt động đáng ngờ. Cần lưu ý rằng đây không phải là IOC (Indicators of Compromise) cụ thể như địa chỉ IP hoặc hàm băm, mà là các mẫu hình hành vi và dữ liệu hạ tầng để nhận diện sự hiện diện của mối đe dọa mạng này trong môi trường của bạn.

Các Biện pháp Phòng ngừa và Giảm thiểu Rủi ro

Để đối phó với những mối đe dọa mạng tinh vi như của PoisonSeed, các chiến lược phòng ngừa cần nhấn mạnh việc áp dụng các phương pháp MFA chống lừa đảo mạnh mẽ hơn, như sử dụng khóa bảo mật FIDO2. Đồng thời, cần loại bỏ dần các phương pháp xác thực dễ bị tấn công như mã gửi qua SMS. Việc tăng cường khả năng phát hiện bất thường cho các lần đăng nhập đáng ngờ và các hoạt động xuất dữ liệu hàng loạt cũng là một yếu tố then chốt. Việc triển khai các biện pháp này là cần thiết để duy trì an toàn thông tin vững chắc trong bối cảnh các tấn công mạng ngày càng phức tạp.

Khi PoisonSeed tiếp tục phát triển và điều chỉnh các TTP (Tactics, Techniques, and Procedures) của mình, thường xuyên liên kết với cộng đồng “The Com”, các tổ chức phải đặt ưu tiên hàng đầu vào việc nâng cao nhận thức người dùng và thiết lập các hệ thống giám sát mạnh mẽ. Điều này là tối quan trọng để giảm thiểu hiệu quả những mối đe dọa mạng tinh vi có khả năng bypass MFA này và bảo vệ tài sản số của doanh nghiệp.