Mimecast Logo
Angebot einholen

    „Scattered Spider“ nutzt gefälschte CAPTCHAs, um einer Erkennung zu entgehen

    22. Mai 2025

    Von Samantha Clarke, Rikesh Vekaria, Ankit Gupta, Hiwot Mendahun und Jared Van Loon

    Wichtige Punkte

    Was Sie in dieser Benachrichtigung erfahren

    • Mehr als 150.000 Phishing-Kampagnen, bei denen sich die Angreifer als Dienstleister wie SendGrid, HubSpot, Google und Okta ausgaben
    • Die E-Mails werden überwiegend über SendGrid-Konten mit White-Label-Lösung versendet
    • Verwendung gefälschter CAPTCHAs zur Umgehung der Erkennung
    • Aktuelle Kampagnen, die sich vorwiegend an Unternehmen aus den Bereichen Einzelhandel und Software-as-a-Service in den USA und Großbritannien richten
    • Ziel der Kampagne: Erfassung von Zugangsdaten

    Das Mimecast Threat Research-Team hat mehrere miteinander verbundene Cluster von Phishing-Kampagnen beobachtet, die im Februar begannen und bis in den Mai 2025 andauern. Bei diesen Kampagnen geben sich die Betreiber als seriöse E-Mail-Dienstleister (ESPs) – vor allem als SendGrid – aus, um betrügerische Benachrichtigungen an Endnutzer zu versenden. Die Kampagnen enthalten häufig dringliche Mitteilungen zu Kontosperrungen, Anmeldewarnungen oder Compliance-Hinweisen, die die Empfänger dazu auffordern, auf einen Aktionsaufruf zu klicken. Das Ziel dieser Kampagnen scheint darin zu bestehen, Zugangsdaten zu sammeln, um weitere Phishing-E-Mails zu versenden. Im Rahmen unserer Bedrohungsforschung haben wir dies an SendGrid gemeldet.

    Okta-Phishing-Kampagnen gegen SaaS-Anbieter

    Zwischen April und Mai 2025 stellten wir eine Zunahme von Spear-Phishing-Kampagnen fest, die auf bestimmte Software-as-a-Service-Unternehmen (SaaS) abzielten; dabei wurden in mehreren Fällen die Anmeldeabläufe von Okta nachgeahmt. Okta ist eine Plattform für Identitäts- und Zugriffsmanagement (IAM), die von Tausenden von Unternehmen weltweit genutzt wird und als Zugangstor zur digitalen Umgebung eines Unternehmens dient. Die Phishing-Seiten weisen ein Design auf, das an Single Sign-On (SSO) angelehnt ist und darauf abzielt, das Vertrauen der Nutzer auszunutzen und Zugangsdaten in Unternehmensumgebungen abzugreifen. Die Kampagnen scheinen auf leitende Mitarbeiter abzuzielen, die möglicherweise über erweiterte Zugriffsrechte auf interne Systeme verfügen.

    Diese Taktik deckt sich weitgehend mit den Methoden, die der von Silent Push hervorgehobenen Hackergruppe „Scattered Spider“ zugeschrieben werden, die für den Einsatz fortschrittlicher Social-Engineering-Techniken und „Adversary-in-the-Middle“ (AiTM)-Phishing-Kits bekannt ist. Indem sich die Gruppe als Okta und andere SSO-Portale ausgibt, versucht sie, hochwertige SaaS-Plattformen – wie beispielsweise Kundenbeziehungs- und Support-Systeme – zu kompromittieren, indem sie Anmeldedaten und Sitzungstoken abfängt. Das Ziel besteht häufig darin, privilegierten Zugriff auf sensible Umgebungen zu erlangen, die Multi-Faktor-Authentifizierung (MFA) zu umgehen und sich innerhalb von Unternehmensnetzwerken seitlich zu bewegen.

    Vereinzelte Spinnenangriffe – Bild 1.png Vereinzelte Spinnenangriffe – Bild 2.png

     

    Taktik: Gefälschte Cloudflare-CAPTCHA-Interstitials

    Diese Kampagnen nutzen gefälschte Cloudflare-CAPTCHA-Interstitials als zentralen Umgehungsmechanismus. Die Angreifer zeigen eine gefälschte Cloudflare-Seite mit einer statischen Ray-ID an, bevor sie die Nutzer auf die Phishing-Zielseite weiterleiten. Diese Technik ahmt eine legitime Browser-Abfrage nach, um automatisierte E-Mail- und URL-Scanner zu umgehen.

    „Scattered Spider Attacks“ – Bild 3.png

     

    Gefälschte Cloudflare-Ray-ID, wie sie in Sendgrid-Phishing-Kampagnen zu beobachten ist. In den Beispielen, die im Rahmen der Phishing-Kampagnen festgestellt wurden, bleibt die Ray-ID unverändert, kann jedoch in verschiedenen Arten von HTML-Tags vorkommen.

    „Scattered Spider Attacks“ – Bild 4.png

     

    Echte Cloudflare-Ray-ID, wie sie in einer nicht damit in Zusammenhang stehenden Kampagne zu sehen ist, die eine echte Ray-ID innerhalb des <code>-Tags enthält.

    Vereinzelte Spinnenangriffe – Bild 5.png

     

    Seriöse CAPTCHA-Dienste wie Cloudflare und Google reCAPTCHA erfordern in der Regel API-Schlüssel, die mit verifizierten Domains verknüpft sind, und setzen Ratenbegrenzungen sowie Schutzmaßnahmen gegen Bots durch. Durch den Einsatz gefälschter CAPTCHAs können Angreifer diese Einschränkungen umgehen, was ihnen mehr Kontrolle und Flexibilität bei der Durchführung ihrer Phishing-Kampagnen verschafft.

    Darüber hinaus wurden bei zahlreichen Phishing-Kampagnen, bei denen sich die Angreifer als Dienste wie SendGrid und Okta ausgaben, immer wieder Vorlagen wiederverwendet, die mit Create React App (CRA) erstellt worden waren. CRA ist ein Entwicklungsframework, das es Angreifern ermöglicht, React-basierte Seiten mit minimalem Einrichtungs- und Konfigurationsaufwand schnell bereitzustellen. Diese Seiten enthalten häufig Standard-Metadaten und -Assets aus der „Create React App“-Vorlage, was ein deutlicher Hinweis auf eine auf Kit-Basierte Phishing-Infrastruktur ist. Gemeinsam ist diesen gefälschten Anmeldeportalen, dass sie folgende Elemente enthalten: ` <` meta name= `"` description `" ` content= `"` Website erstellt mit `create-react-app ` ` " `` > `, `<` link rel= `"` apple-touch-icon `" ` href= `"/logo192.png ` ` " ` ` > ` sowie `<` link rel= `"` manifest `" ` href= `"/manifest.json` `" ` `>`, zusammen mit nicht angepassten <title> ` <` title `> `-Elementen wie „React App“ oder „SendGrid-Verifizierung“. Die Wiederverwendung statischer Ressourcen wie main.[hash].js und main.[hash].css Dies lässt vermuten, dass die Angreifer geklonte Builds einsetzen, die lediglich geringfügige kosmetische Änderungen aufweisen.

    Vereinzelte Spinnenangriffe – Bild 6.png

     

    Die in diesen Kampagnen beobachteten Phishing-URLs folgen einheitlichen strukturellen Mustern, die darauf abzielen, sich als vertrauenswürdige Unternehmensdienste auszugeben. Viele Domains enthalten Schlüsselwörter wie „sso“, „login“, „account“ oder „security“ und orientieren sich häufig an den Namenskonventionen für Cloud-Infrastrukturen (z. B. aws-us3-manageprod.com, portal-sendgrld.com). Typo-Squatting ist weit verbreitet, wobei Markennamen wie SendGrid oder Google leicht abgewandelt werden.

    Eine große Anzahl von Domains in diesen Phishing-Kampagnen wird über die NICENIC INTERNATIONAL GROUP CO., LIMITED registriert, einen Registrar, der häufig mit Missbrauch in Verbindung gebracht wird und insbesondere seit Ende 2024 von Scattered Spider in dessen Kampagnen bevorzugt genutzt wird. Der Reiz liegt in der reibungslosen Registrierung mit minimalen Identitätsprüfungen sowie in der verzögerten Reaktion auf Missbrauch, wodurch die Lebensdauer bösartiger Websites verlängert wird. NICENIC bietet standardmäßig auch WHOIS-Datenschutz an, wodurch die Rückverfolgung und Identifizierung erschwert wird. Die Bedrohungsforscher von Mimecast führten manuelle Überprüfungen durch, um festzustellen, wer die im IOC-Abschnitt aufgeführten Domains registriert hatte, und bestätigten diese Muster, die mit den im „Silent Push“-Artikel genannten Details übereinstimmen. Diese Kombination aus leichter Zugänglichkeit und Anonymität macht sie zu einer attraktiven Option für Angreifer, die Domains schnell einrichten und regelmäßig wechseln möchten.

    Im Rahmen der jüngsten Kampagnen hat das Mimecast Threat Research-Team festgestellt, dass gestohlene Zugangsdaten übertragen wurden. Die unter sendgr.id-unlink[.]com gehostete Phishing-Website erfasst die Anmeldedaten und sendet diese über eine POST-Anfrage an die IP-Adresse 185.208.156.251.

    Die IP-Adresse 185.208.156.251 ist aktiv an Phishing-Aktivitäten beteiligt und stellt ein TLS-Zertifikat von Let's Encrypt bereit, das mehrere der unten aufgeführten verdächtigen Domains absichert. Das Zertifikat ist vom 7. Mai bis zum 5. August 2025 gültig, also nur für wenige Monate, und wird auf der Infrastruktur der Global-Data System IT Corporation gehostet, einem Hosting-Anbieter, der für sein Angebot an Virtual Private Servern (VPS) bekannt ist.

    Vereinzelte Spinnenangriffe – Bild 7.png

    Die Verwendung eines gültigen TLS-Zertifikats von Let's Encrypt verleiht diesen Phishing-Websites den Anschein von Seriosität, wodurch Nutzer möglicherweise dazu verleitet werden, ihnen zu vertrauen. Die Bündelung mehrerer Phishing-Domains unter einem single Zertifikat und einer single IP-Adresse deutet auf eine koordinierte Kampagne hin, bei der wahrscheinlich eine gemeinsame Backend-Infrastruktur genutzt wird, um die Abläufe zu optimieren.

     

    Mimecast-Schutz

    Wir haben bei den jüngsten Kampagnen mehrere Merkmale identifiziert, die in unsere Erkennungsfunktionen aufgenommen wurden. Wir beobachten weiterhin, ob sich die von diesem Angreifer eingesetzten Techniken ändern.

    Ziele:

    Vorwiegend USA, Großbritannien, Einzelhandel, SaaS

    des IOC

    Im Februar 2025 identifizierte Domänen

    complete-sendgrid[.]com
    response-crmsg[.]com
    response11-sendgrid[.]com bis response20-sendgrid[.]com
    responseinquiry-tos[.]com
    responsesendgrid[.]com
    review-termsconditions[.]com

    Im April 2025 identifizierte Domänen

    aws-us3-manageprod[.]com
    internal-ssologin[.]com
    legalcompliance-login[.]com
    login-request[.]com

    login-enterprisesso[.]com
    mange-accountsecurity[.]com
    myhubservices[.]com
    password-internal[.]com
    portal-sendgrld[.]com
    production-us12[.]com
    service-settings[.]com
    sso-accountservices[.]com
    services-goo[.]com
    sso-gservices[.]com
    ssologinservices[.]net
    signon-directory[.]com
    grid-authority[.]com
    grid-network[.]com
    grid-sso[.]com
    sendgr.id-unlink[.]com
    appeal.grid-secureaccount[.]com
    grid-secureaccount[.]com
    send.grid-secureaccount[.]com
    Sgupgradegold[.]com
    grid-sso.com

    Kürzlich erstellte Domains mit möglichen Verbindungen zu „Scattered Spider“

    oktacheck.it[.]com
    okta.ubzbpmwxvmskewyqbhsgbcxhdfmetr.micraclefoundations.it[.]com
    okta.athuymircrosovfts365ovaw.it[.]com

    IP

    185.208.156.251
    84.200.205.9

    Empfehlungen

    • Schulungen zur Sensibilisierung von Benutzern
      • Die erste Verteidigungslinie gegen jede Form von Phishing besteht darin, Ihre Mitarbeiter so zu schulen, dass sie nicht jedem Link vertrauen und bösartige Links oder Webseiten erkennen können
      • Führen Sie regelmäßig Phishing-Simulationen durch, die Szenarien mit Okta-Berechtigungen umfassen
      • Stellen Sie sicher, dass die Nutzer Angriffe durch MFA-Ermüdung aktiv erkennen und wissen, wie sie diese verhindern können
    • Überarbeitung der Sicherheitsrichtlinie
      • Führen Sie eine strenge Multi-Faktor-Authentifizierung (MFA) ein und legen Sie dabei den Schwerpunkt auf Phishing-resistente Verfahren. Deaktivieren Sie weniger sichere Authentifizierungsmethoden, um den Diebstahl von Zugangsdaten deutlich zu reduzieren, auch wenn raffinierte Angreifer dies möglicherweise weiterhin versuchen werden.
      • Setzen Sie Richtlinien für den bedingten Zugriff durch, um Authentifizierung und Autorisierung ausschließlich für vom Unternehmen ausgegebene Geräte zu gewähren, wodurch unbefugte Zugriffe erheblich reduziert werden.
    • Proaktive Bedrohungssuche
      • Durchsuchen Sie die „URL Protect“-Protokolle anhand spezifischer Filter für die identifizierten Domänen und RAY-IDs, da dies ein wichtiger Indikator für eine Kompromittierung darstellt.
      • Suchen Sie nach Authentifizierungsereignissen aus unbekannten IP-Bereichen, insbesondere solchen, die mit bekannter Angreiferinfrastruktur in Verbindung stehen
      • Suchen Sie nach React-basierten Phishing-Seiten mit verräterischen Metadaten wie „ "“ – eine mit „create-react-app“ erstellte Website."
      • Durchsuchen Sie die Protokolle der E-Mail-Empfangsbestätigungen nach Nachrichten, die mit Sendgrid in Verbindung stehen
    Zurück zum Anfang