Từ tháng 6 năm 2025, DomainTools Investigations đã phát hiện 21 tên miền mới được đăng ký có dấu hiệu hoạt động của tác nhân tội phạm mạng (eCrime) có tên là PoisonSeed. Tác nhân này chuyên giả mạo nền tảng gửi email SendGrid và sử dụng các trang chuyển tiếp (interstitials) Cloudflare CAPTCHA giả mạo để lừa đảo, chuyển hướng người dùng không nghi ngờ đến các trang thu thập thông tin đăng nhập. Đây là một mối đe dọa mạng đáng chú ý, đòi hỏi các tổ chức phải tăng cường cảnh giác.

Phân tích Tấn công Mạng của PoisonSeed

Các tên miền mới của PoisonSeed cho thấy một sự tiếp nối các chiến dịch thu thập thông tin đăng nhập đã được ghi nhận trước đây. Hoạt động này được theo dõi sát sao do PoisonSeed có lịch sử nhắm mục tiêu vào các nền tảng tiền điện tử và môi trường doanh nghiệp.

Cơ sở hạ tầng và Tên miền Độc hại

Các tên miền liên quan được đăng ký thông qua nhà đăng ký NiceNIC International Group Co.. Chúng được lưu trữ trên các địa chỉ IP thuộc về Global-Data System IT Corporation (AS42624). Hầu hết các tên miền đều chứa các tham chiếu trực tiếp đến “SendGrid”. Một số khác sử dụng các dịch vụ kỹ thuật số chung hơn, chẳng hạn như cổng đăng nhập một lần (single sign-on portals) hoặc các trang đăng nhập thông thường.

Các ví dụ điển hình bao gồm https-loginsg[.]com, sgaccountsettings[.]com và my-sandgrid[.]com. Các nhà điều tra của DomainTools đã tải lên một danh sách đầy đủ gồm hàng trăm tên miền có cùng mẫu đăng ký và lưu trữ lên kho lưu trữ GitHub của họ. Điều này cung cấp tài nguyên quý giá cho các nhà phân tích và chuyên gia săn lùng mối đe dọa.

Để biết thêm chi tiết về các tên miền mới được xác định này, bạn có thể tham khảo báo cáo của DomainTools: Newly Identified Domains Likely Linked to Continued Activity from PoisonSeed eCrime Actor.

Kỹ thuật Lừa đảo: Cloudflare CAPTCHA Giả mạo

Một phần quan trọng trong phương thức hoạt động (modus operandi) của PoisonSeed là việc trình bày các thử thách Cloudflare CAPTCHA giả mạo. Kỹ thuật này được thiết kế để tạo ra một lớp tin cậy giả mạo, đánh lừa người dùng.

Cơ chế Hoạt động

Khi truy cập vào các tên miền độc hại này, người dùng sẽ gặp các trang chuyển tiếp bắt chước màn hình xác minh Cloudflare Ray ID hợp pháp. Các trang này được hoàn chỉnh với các chuỗi Ray ID được ngụy tạo một cách tinh vi. Mục đích là để vượt qua sự nghi ngờ của người dùng bằng cách mô phỏng một biện pháp bảo mật phổ biến và đáng tin cậy.

Sau khi người dùng vượt qua “thử thách CAPTCHA” giả mạo, họ sẽ bị chuyển hướng đến các trang lừa đảo thực sự. Tại đây, hệ thống yêu cầu thông tin đăng nhập doanh nghiệp hoặc các thông tin nhạy cảm khác. Phân tích thông qua URLScan.io đã xác nhận rằng nhiều tên miền mới được phát hiện cung cấp các trang chuyển tiếp giống hệt với những gì đã được ghi nhận trong blog nghiên cứu mối đe dọa của Mimecast từ tháng 5 năm 2025.

Hậu quả sau khi Thu Thập Thông Tin Đăng Nhập

Sau khi thông tin đăng nhập được thu thập thông tin đăng nhập, các nhà điều hành PoisonSeed có thể sử dụng chúng theo nhiều cách khác nhau để tối đa hóa lợi ích từ cuộc tấn công. Đây là giai đoạn quan trọng của một chiến dịch lừa đảo.

Các Hành Động Tiếp Theo

• Chiến dịch lừa đảo tiếp theo: Thông tin đăng nhập có thể được dùng để khởi động các chiến dịch lừa đảo khác, nhắm vào các mục tiêu mới hoặc mở rộng phạm vi tấn công.
• Di chuyển ngang trong môi trường doanh nghiệp: Nếu là thông tin đăng nhập của doanh nghiệp, chúng có thể cho phép kẻ tấn công di chuyển ngang (lateral movement) bên trong mạng nội bộ đã bị xâm nhập, tìm kiếm các hệ thống có giá trị cao hơn hoặc leo thang đặc quyền.
• Truy cập trái phép vào tài khoản tiền điện tử: Đối với các mục tiêu liên quan đến tiền điện tử, thông tin đăng nhập có thể dẫn đến việc truy cập trái phép và đánh cắp tài sản kỹ thuật số.

Các chiến dịch trước đây của PoisonSeed đã tận dụng kỹ thuật lừa đảo giả mạo SendGrid để thực hiện tống tiền tiền điện tử quy mô lớn. Điều này chứng tỏ khả năng của tác nhân trong việc kết hợp mạo danh thương hiệu với kỹ thuật xã hội.

Mối liên hệ giữa PoisonSeed và SCATTERED SPIDER

Các chiến thuật, kỹ thuật và quy trình (TTPs) của PoisonSeed có nhiều điểm tương đồng với nhóm đối thủ SCATTERED SPIDER. Sự trùng lặp này cho thấy có thể tồn tại mối liên hệ hoạt động hoặc thậm chí là chia sẻ nhân sự giữa hai nhóm.

Điểm tương đồng và Khả năng liên kết

Các sự cố SCATTERED SPIDER gần đây, nhắm vào các nhà bán lẻ, chuỗi cửa hàng tạp hóa, nhà cung cấp bảo hiểm và hãng hàng không tại Hoa Kỳ, Vương quốc Anh và Canada, đã thu hút sự chú ý đáng kể của truyền thông do gây gián đoạn kinh doanh và đánh cắp dữ liệu. Mặc dù DomainTools chưa tìm thấy bằng chứng trực tiếp nào liên kết các tên miền PoisonSeed mới với các vụ vi phạm ngành đó, việc sử dụng chung các trang chuyển tiếp CAPTCHA giả mạo, quy ước đặt tên miền tương tự và mẫu đăng ký cho thấy ít nhất có một sự liên kết hoạt động.

SCATTERED SPIDER được biết đến là một phần của tập thể “The Com”, một nhóm tội phạm mạng tài chính linh hoạt. Tập thể này chuyên về các cuộc tấn công smishing, lừa đảo hoán đổi SIM (SIM-swap fraud) và tấn công kiệt sức MFA (MFA-fatigue attacks). Sự luân chuyển thành viên và hợp tác giữa “The Com” có thể giải thích việc PoisonSeed áp dụng các kỹ thuật giống SCATTERED SPIDER. Ngoài ra, các nhà điều hành SCATTERED SPIDER cũ có thể đã tách ra để thành lập PoisonSeed, mang theo các TTP cốt lõi vào các chiến dịch mới.

IOCs: Dấu hiệu Phát Hiện Xâm Nhập và Phòng Ngừa

Việc phát hiện cơ sở hạ tầng PoisonSeed này nhấn mạnh sự tinh vi ngày càng tăng của các tác nhân tội phạm mạng trong việc thu thập thông tin đăng nhập. Các nhóm bảo mật cần hết sức cảnh giác và áp dụng các biện pháp phòng ngừa chủ động.

Các Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)

Dưới đây là một phần danh sách các tên miền độc hại được liên kết với PoisonSeed:

• https-loginsg[.]com
• sgaccountsettings[.]com
• my-sandgrid[.]com

Để có danh sách đầy đủ hơn, các nhà phân tích an ninh mạng nên tham khảo kho lưu trữ GitHub của DomainTools.

Biện pháp Phòng ngừa và Giảm thiểu Rủi ro

Các nhóm bảo mật cần triển khai các chiến lược toàn diện để bảo vệ hệ thống khỏi các cuộc tấn công thu thập thông tin đăng nhập như của PoisonSeed. Các biện pháp này giúp tăng cường an ninh mạng tổng thể.

• Giáo dục người dùng: Thường xuyên đào tạo người dùng về nhận diện các email lừa đảo (phishing), đặc biệt là những email giả mạo các dịch vụ đáng tin cậy như SendGrid hoặc yêu cầu xác minh CAPTCHA.
• Xác thực đa yếu tố (MFA): Yêu cầu sử dụng MFA mạnh cho tất cả các tài khoản, đặc biệt là tài khoản doanh nghiệp và tài khoản tiền điện tử, để thêm một lớp bảo vệ ngay cả khi thông tin đăng nhập bị đánh cắp.
• Giám sát và Phát hiện: Triển khai các hệ thống giám sát mạng và nhật ký (log) mạnh mẽ để phát hiện xâm nhập bất thường, bao gồm lưu lượng truy cập đến các tên miền đáng ngờ hoặc các yêu cầu xác thực không điển hình.
• Chặn tên miền độc hại: Cập nhật liên tục các danh sách chặn tên miền (blacklist) và triển khai các giải pháp bảo vệ DNS để ngăn chặn truy cập vào các trang web lừa đảo đã biết.
• Chia sẻ thông tin tình báo mối đe dọa: Tham gia vào các cộng đồng chia sẻ thông tin tình báo mối đe dọa (threat intelligence) để cập nhật kịp thời về các TTP mới và các chỉ số thỏa hiệp liên quan đến các tác nhân eCrime.
• Phân tích URL: Hướng dẫn người dùng kiểm tra kỹ URL trước khi nhấp vào bất kỳ liên kết nào, đặc biệt nếu chúng có vẻ yêu cầu thông tin đăng nhập hoặc xác minh bảo mật.

Việc chia sẻ thông tin tình báo mối đe dọa liên tục và săn lùng mối đe dọa hợp tác sẽ rất quan trọng để giảm thiểu các nỗ lực của PoisonSeed nhằm xâm phạm thông tin đăng nhập doanh nghiệp và hạn chế tác động tiêu cực đến hệ thống.