PoisonSeed 공급망 피싱 캠페인 분석: CRM 플랫폼 악용 및 암호화폐 시드 문장 중독 기법

PoisonSeed Targets CRM and Bulk Email Providers in New Supply Chain Phishing Attack

PoisonSeed Targets CRM and Bulk Email Providers in New Supply Chain Phishing Attack

 

PoisonSeed Exploits CRM Accounts to Launch Cryptocurrency Seed Phrase Poisoning Attacks

 

• 캠페인 개요
  • PoisonSeed는 고객관계관리(CRM) 및 대량 이메일 전송 플랫폼의 계정을 탈취하여 암호화폐 관련 피싱을 수행하는 공급망 공격 기법
  • 공격자는 피싱 페이지로 CRM 사용자 자격증명을 탈취한 뒤, 메일링 리스트를 추출하고 새로운 API 키를 생성하여 계정에 지속적으로 접근
  • 탈취된 계정을 이용해 시드 문장(Seed Phrase)을 포함한 피싱 이메일을 다량 전송, 사용자로 하여금 공격자가 제공한 문장으로 암호화폐 지갑을 개설하도록 유도함
• 주요 타깃 및 사용 인프라
  • 타깃 플랫폼: Mailchimp, SendGrid, HubSpot, Zoho, Mailgun 등 대중적인 CRM 및 메일 전송 서비스
  • 실제 사례: 2025년 3월 아카마이(Akamai)의 SendGrid 계정 탈취 후 Coinbase 사칭 메일 발송
  • 공격자는 시드 문장을 사전에 메일에 포함시키고, 수신자가 이를 사용하여 지갑을 생성한 후 입금하면 공격자가 동일 문장으로 지갑을 복구하여 탈취
• 공격 방식 세부 절차
  • 1단계: CRM 또는 이메일 플랫폼의 로그인 페이지 위장 피싱 사이트 구축
  • 2단계: 사용자 자격증명을 탈취하고 API 키 생성, 계정 접근 지속화
  • 3단계: CRM 내 이메일 리스트 자동 추출 및 대량 피싱 메일 전송
  • 4단계: 메일에 공격자 지정 시드 문장 삽입, 수신자가 해당 문장으로 지갑 개설 시 공격자가 자금 탈취
  • 5단계: 장기적으로 자금이 입금될 시점을 기다리며 공격자는 지갑 접근 후 자산 전송
• 관련 위협 그룹 및 인프라 연관성
  • CryptoChameleon, Scattered Spider 등 기존 암호화폐 피싱 그룹과 일부 도메인 인프라 공유 정황
  • 예시: mailchimp-sso[.]com 도메인 활용
  • 다만 피싱 키트 자체는 구조적으로 독립적이며, 별도의 공격 그룹으로 판단됨
• 기술적 IoC 및 특징
  • WHOIS 분석과 피싱 키트 지문(Fingerprint)을 통해 49개 이상의 관련 도메인 식별됨
  • 도메인 등록 시 비정상적인 placeholder(예: "asdf", "123123") 사용
  • Cloudflare Pages.Dev / Workers.Dev를 활용한 피싱 페이지 호스팅 사례도 관찰됨
  • 일부 캠페인은 ms-search:// 프로토콜 악용하여 악성 LNK 파일을 다운로드하게 하며, Pyramid C2 서버로 연결
• 보안 권고
  • 침해지표 기반 탐지: WHOIS, 도메인, 피싱 키트 서명 기반 탐지 체계 강화
  • 이메일 보안 강화: CRM 연동 이메일 서비스에 대한 접근 제어 및 API 키 사용 모니터링
  • 시드 문장 유출 탐지: 시드 문장을 포함한 이메일 차단 정책 적용
  • 직원 교육: 암호화폐 지갑 개설 시 시드 문장 제공자에 대한 의심을 기본화
  • MFA 및 로그인 이력 감사: API 키 생성을 포함한 비정상 로그인 활동에 대한 감사 기능 확보
• 결론
  • PoisonSeed는 기존 피싱 공격에 비해 공급망 및 서비스 계정 탈취를 선행 단계로 활용하는 진화된 공격 방식임
  • 암호화폐 분야뿐 아니라 기업 이메일 인프라 전체가 대상이 될 수 있으며, 공격이 지연성 있고 은밀하게 진행되는 점이 위협적
  • 조직은 시드 문장 기반의 피싱 탐지 역량 확보와 함께, 자산보호 관점의 이메일 서비스 접근제어를 강화할 필요가 있음