記事本文(要約)
PoisonSeedという悪意のあるキャンペーンが、CRMツールや大量メール配信プロバイダーの不正に取得した認証情報を利用して、スパムメールを送信し、受信者の暗号通貨ウォレットを狙っています。この攻撃では、受信者に偽の暗号通貨のシードフレーズをコピーさせ、新しいウォレットに貼り付けるよう誘導し、ウォレットを乗っ取る手口です。PoisonSeedのターゲットにはCoinbaseやLedger、Mailchimpなどが含まれます。
この活動はScattered SpiderやCryptoChameleonとは異なるものですが、PoisonSeedが使用するフィッシングページのドメインには過去にこれらのグループが関与していたものも含まれており、少なくとも手法の類似性が指摘されています。
さらに、このキャンペーンの一環として、Cloudflare Pages.DevやWorkers.Devにホスティングされたフィッシングページを使用するロシア語話者の攻撃者も確認されており、マルウェアを配布し、感染したWindowsホストを遠隔操作しています。このフィッシングは、DMCA削除通知を装ってユーザーを騙し、悪意のあるLNKファイルをダウンロードさせる手口により行われていると報告されています。
※この要約はChatGPTを使用して生成されました。
公開日: Mon, 07 Apr 2025 12:59:00 +0530
Original URL: https://thehackernews.com/2025/04/poisonseed-exploits-crm-accounts-to.html
詳細な技術情報
- 脆弱性の仕組み
- 1. 認証情報の侵害: 攻撃者は、CRMツールやメールプロバイダのユーザーの認証情報をフィッシングを通じて取得します。
- 2. 持続性の確保: 盗んだ認証情報でAPIキーを作成することで、パスワードがリセットされてもアクセスを維持できます。
- 攻撃手法
- 1. フィッシングページ: 標的のCRMやメールサービスの外観を模倣したフィッシングページを利用し、考えうる被害者を騙します。
- 2. スパム送信: 侵害されたアカウントから自動的にメールリストをエクスポートし、スパムメールを送信します。これには新しいCoinbase Walletをセットアップするよう指示する暗号通貨シードフレーズが含まれています。
- 潜在的な影響
- 1. デジタルウォレットの無断アクセスと資金流出: 被害者が提供されたシードフレーズを使用すると、攻撃者にウォレットをハイジャックされ、資金を盗まれる可能性があります。
- 2. 企業および個人データの侵害: 企業の顧客データや個人情報が漏洩するリスクがあります。
- 推奨される対策
- 1. 二要素認証(2FA)の導入: CRMやメールサービスに、二要素認証を導入し、アカウントへの不正アクセスを防ぎます。
- 2. フィッシング意識向上: フィッシングメールの特徴を教育し、社内トレーニングを行い、社員の警戒心を高める。
- 3. APIキーとパスワードの頻繁な再生成: 定期的にAPIキーとパスワードを更新することで、侵害の影響を軽減します。
- 4. メール認証技術の利用: SPF、DKIM、DMARCのようなメール認証技術を構築し、スパムメールのなりすましを防止します。
- 5. 監視と検知: 不正アクセスの兆候を検知するため、ログイン活動やAPIの使用状況を監視するシステムを設けます。
- その他の観点
- 脅威アクターと関連性: Scattered SpiderやCryptoChameleonとの関連が示唆されるも、別のフィッシングキットが使われていることから、新たな脅威アクターの可能性が考えられます。
- 攻撃手法の拡大: Cloudflareのサービスを利用してフィッシングページをホスティングする手法が見られ、これには悪意のあるLNKファイルを使ったマルウェア感染の手口が組み合わされています。
