Source: DomainTools — DomainTools signale l’identification de 21 nouveaux domaines malveillants associés à l’acteur e‑crime PoisonSeed, qui usurpent la plateforme d’emailing SendGrid et utilisent de faux interstitiels CAPTCHA Cloudflare pour légitimer leurs pages et voler des identifiants.
L’activité décrite met en avant une campagne de phishing et de collecte d’identifiants visant des plateformes de cryptomonnaies et des environnements d’entreprise. Elle présente des connexions potentielles avec le groupe SCATTERED SPIDER, dont des opérations récentes ont provoqué des perturbations majeures dans les secteurs de la distribution, de l’assurance et des compagnies aériennes.
Côté infrastructure, les domaines ont été enregistrés via le registrar NiceNIC International Group Co. et hébergés sur des adresses IP appartenant à Global-Data System IT Corporation (AS42624). Les chercheurs observent des schémas d’hébergement cohérents sur trois plages IP: 185.208.156.46, 86.54.42.106, 185.196.10.54.
Des indicateurs techniques soulignent l’usage de faux interstitiels CAPTCHA Cloudflare avec de fausses données de Ray ID, des noms de domaine à thématique SendGrid, et des techniques d’ingénierie sociale ciblant notamment les helpdesks IT ainsi que l’exploitation de la fatigue aux notifications MFA pour obtenir un accès aux environnements d’entreprise.
IOCs principaux:
- IPs: 185.208.156.46; 86.54.42.106; 185.196.10.54
- ASN / Hébergement: Global-Data System IT Corporation (AS42624)
- Registrar: NiceNIC International Group Co.
- Thématique des domaines: spoofing SendGrid (21 domaines identifiés)
TTPs observées (MITRE ATT&CK, niveau descriptif):
- Phishing par domain spoofing de SendGrid pour credential harvesting 🎯
- Faux CAPTCHA Cloudflare avec Ray ID simulé pour renforcer la crédibilité 🛡️
- Ingénierie sociale ciblant les helpdesks IT 🕵️
- MFA push‑fatigue pour favoriser l’acceptation de demandes d’authentification ⚠️
Type d’article: Il s’agit d’une analyse de menace visant à documenter une campagne active, ses artefacts d’infrastructure et ses modes opératoires. Référence: https://dti.domaintools.com/newly-identified-domains-likely-linked-to-continued-activity-from-poisonseed-e-crime-actor/
🧠 TTPs et IOCs détectés
TTPs
[‘Phishing par domain spoofing de SendGrid pour credential harvesting’, ‘Faux CAPTCHA Cloudflare avec Ray ID simulé pour renforcer la crédibilité’, ‘Ingénierie sociale ciblant les helpdesks IT’, ‘MFA push-fatigue pour favoriser l’acceptation de demandes d’authentification’]
IOCs
{‘ips’: [‘185.208.156.46’, ‘86.54.42.106’, ‘185.196.10.54’], ‘asn’: ‘Global-Data System IT Corporation (AS42624)’, ‘registrar’: ‘NiceNIC International Group Co.’, ‘domain_theme’: ‘spoofing SendGrid (21 domaines identifiés)’}
🔗 Source originale : https://dti.domaintools.com/newly-identified-domains-likely-linked-to-continued-activity-from-poisonseed-e-crime-actor/