Oxopage
Siber güvenlik araştırmacıları, PoisonSeed adı verilen yeni bir kötü amaçlı kampanyanın, ele geçirilen CRM araçları ve toplu e-posta servis sağlayıcılarının bilgilerini kullanarak gerçekleştirilen saldırılarla kripto para cüzdanlarını hedef aldığını ortaya koydu. PoisonSeed operasyonu, yapay zeka destekli saldırılar kullanmasa da, saldırıların yüksek otomasyon ve sahte kimlik avı teknikleriyle gerçekleştirildiği dikkat çekiyor.
Silent Push tarafından yayımlanan analizde, kurbanlara gönderilen toplu spam mesajlarının, onları sahte kurtarma ifadelerini (seed phrase) yeni kripto cüzdanlarına yapıştırmaya teşvik ettiği ve bu yöntemle dijital cüzdanlarının içeriğinin boşaltılmasının amaçlandığı belirtilmiştir.
PoisonSeed Operasyonu: Saldırılarda Kimler Hedef Alınıyor?
PoisonSeed kampanyası sadece kripto para sektöründeki firmalarla sınırlı kalmadı. Bireyler ve kurumsal yapılar da dahil olmak üzere geniş bir kesimi hedef almaktadır. Özellikle Coinbase, Mailchimp, SendGrid, Mailgun ve Zoho gibi platformlar saldırının ana odak noktası oldular.
Faaliyetlerin, Scattered Spider ve CryptoChameleon adlı daha önceki tehdit aktörlerinden farklı bir yapıda olduğu değerlendirilmektedir. Yine de kullanılan bazı alan adları ve teknikler, bu tehdit aktörleriyle belirli benzerlikler gösterilmektedir. Geçmişte Troy Hunt ve Bleeping Computer gibi güvenlik araştırmacıları tarafından da bu yöntemlerin bazıları rapor edilmiştir.
PoisonSeed Saldırıları Nasıl Gerçekleşiyor?
Saldırının ilk aşamasında, CRM ve e-posta servis sağlayıcılarına ait sahte giriş sayfaları oluşturuluyor. Kullanıcıların kimlik bilgileri ele geçirildikten sonra, saldırganlar API anahtarları üreterek sisteme kalıcı erişim sağlıyor. Böylece kullanıcı şifresi değiştirildiğinde dahi, saldırganlar hesabı kontrol altında tutabiliyorlar.
İkinci aşamada, ele geçirilen hesaplar kullanılarak toplu e-posta listeleri dışa aktarılmaktadır. Ardından, kurbanlara gönderilen sahte e-postalar ile yeni bir kripto cüzdan oluşturmaları ve içerisine saldırganlar tarafından sağlanan sahte kurtarma ifadelerini yapıştırmaları sağlanmaktadır. Bu sayede, kullanıcıların cüzdanları ele geçirilerek tüm varlıkları çalınmaktadır.
Bu saldırılar için özellikle “mailchimp-sso[.]com” gibi sahte alan adları kullanılmaktadır. Bu da saldırganların daha önceki tehdit aktörleriyle olan bağlantı ihtimalini güçlendirmektedir. Ancak, kullanılan kimlik avı kitlerinin özgün olması, PoisonSeed’in tamamen yeni tehdit grubu olabileceğini de düşündürmektedir.
Yeni Dalga: DMCA Temalı Kimlik Avı Saldırıları
Aynı süreçte, Rusça konuşan bir tehdit aktörünün yeni bir saldırı dalgası başlattığı gözlemlendi.
Cloudflare Pages.Dev ve Workers.Dev platformlarında sahte DMCA bildirim sayfaları oluşturulduğu tespit edildi.
Bu saldırılarda, kurbanlara PDF formatında görünen kötü amaçlı bir LNK dosyası gönderilmektedir.
Gönderilen sahte bildirimler, kullanıcıların dosyayı çalıştırarak cihazlarının ele geçirilmesine neden olmaktadır.
Dosya çalıştırıldığında, kullanıcının IP adresi Telegram üzerinden doğrudan saldırganlara iletilmektedir.
Ardından, sistem Pyramid C2 komuta kontrol altyapısına bağlanarak cihaz üzerinde tam kontrol sağlanmaktadır.
Bu kampanyanın önceki sürümlerinde, StealC adlı bir bilgi hırsızı yazılımın da kullanıldığı belirlenmiştir.
Cosmos StarLine
