Ένας άγνωστος παράγοντας απειλής έχει συνδεθεί με μια εκτενή εκστρατεία απάτης που εκμεταλλεύτηκε εσφαλμένη δρομολόγηση email στις άμυνες του προμηθευτή ασφαλείας email Proofpoint.
Αυτή η εκστρατεία έχει οδηγήσει στην αποστολή εκατομμυρίων phishing email, τα οποία φαίνονται να προέρχονται από διάφορες νόμιμες εταιρείες.
«Αυτά τα email μεταδίδονταν από επίσημους αναμεταδότες της Proofpoint, με πιστοποιημένες υπογραφές SPF και DKIM, παρακάμπτοντας έτσι σημαντικές ασφάλειες. Σκοπός τους ήταν να εξαπατήσουν τους παραλήπτες και να κλέψουν χρήματα και στοιχεία πιστωτικών καρτών», δήλωσε ο Nati Tal, ερευνητής της Guardio Labs, σε λεπτομερή αναφορά που δημοσιεύθηκε στο The Hacker News.
Διαβάστε σχετικά: Νέα υπηρεσία για hackers συνδυάζει phishing kits και κακόβουλα Android apps
Η Guardio Labs έχει ονομάσει την εκστρατεία “EchoSpoofing”. Η δραστηριότητα αυτή εκτιμάται ότι ξεκίνησε τον Ιανουάριο του 2024, με τον παράγοντα απειλής να εκμεταλλεύεται το σφάλμα για να στέλνει κατά μέσο όρο έως τρία εκατομμύρια email ημερησίως. Ο αριθμός αυτός έφτασε τα 14 εκατομμύρια στις αρχές Ιουνίου, καθώς η Proofpoint άρχισε να εφαρμόζει αντίμετρα.
«Η ιδέα του EchoSpoofing είναι πραγματικά ισχυρή. Είναι περίεργο ότι χρησιμοποιείται για ευρείας κλίμακας phishing αντί για μια στοχευμένη καμπάνια spear-phishing, όπου ένας χάκερ μπορεί γρήγορα να μιμηθεί την ταυτότητα οποιουδήποτε μέλους της ομάδας μιας εταιρείας και να στείλει email σε άλλους συνεργάτες, αποκτώντας τελικά πρόσβαση σε εσωτερικά δεδομένα ή διαπιστευτήρια και θέτοντας σε κίνδυνο ολόκληρη την εταιρεία.
Η τεχνική των χάκερς περιλαμβάνει την αποστολή μηνυμάτων από έναν server SMTP σε έναν εικονικό ιδιωτικό server (VPS), η οποία συμμορφώνεται με τα μέτρα ελέγχου ταυτότητας και ασφάλειας όπως το SPF και το DKIM, που αποσκοπούν στην αποτροπή της μίμησης νόμιμου domain από χάκερς.
Αυτά τα email δρομολογούνται μέσω διαφόρων χρηστών του Microsoft 365 που ελέγχονται από κακόβουλους παράγοντες και στη συνέχεια αναμεταδίδονται μέσω των υποδομών email των εταιρικών πελατών της Proofpoint. Έτσι, καταλήγουν σε άτομα που χρησιμοποιούν δωρεάν εφαρμογές για την αποστολή email, όπως το Yahoo!, το Gmail και το GMX.
Αυτή η κατάσταση προκύπτει από αυτό που η Guardio χαρακτηρίζει ως «υπερ-επιτρεπτό ελάττωμα εσφαλμένης διαμόρφωσης» στους Proofpoint servers («pphosted.com»), το οποίο επέτρεψε στους spammers να εκμεταλλευτούν την υποδομή του email για να στέλνουν τα μηνύματά τους.
Δείτε ακόμη: CrowdStrike: Phishing επιθέσεις στοχεύουν Γερμανούς πελάτες
Η κύρια αιτία είναι μια δυνατότητα που διαμορφώνει τη δρομολόγηση email σε Proofpoint servers, επιτρέποντας την αναμετάδοση εξερχόμενων μηνυμάτων οργανισμών από χρήστες του Microsoft 365, χωρίς ωστόσο να διευκρινίζεται ποιοι ενοικιαστές θα έχουν αυτήν την άδεια, σύμφωνα με τη Proofpoint σε μια συντονισμένη αναφορά που κοινοποιήθηκε στο The Hacker News.
“Οποιαδήποτε υποδομή ηλεκτρονικού ταχυδρομείου που προσφέρει αυτή τη δυνατότητα μπορεί να γίνει στόχος από spammers.” Με άλλα λόγια, ένας χάκερ μπορεί να εκμεταλλευτεί αυτήν την ευπάθεια για να εγκαταστήσει κακόβουλους ενοικιαστές του Microsoft 365 και να στείλει ψεύτικα email στους servers αναμετάδοσης της Proofpoint, από όπου επιστρέφουν ως γνήσιες ψηφιακές αποστολές που υποδύονται domain των πελατών.
Αυτό επιτυγχάνεται με την προσαρμογή της εξερχόμενης σύνδεσης email του Exchange Server απευθείας στο ευάλωτο τελικό σημείο pphosted.com που σχετίζεται με τον πελάτη. Επιπλέον, χρησιμοποιείται μια παραποιημένη έκδοση του νόμιμου λογισμικού αποστολής email PowerMTA για την αποστολή των μηνυμάτων.
“Ο αποστολέας ανεπιθύμητης αλληλογραφίας χρησιμοποίησε μια εναλλασσόμενη σειρά εικονικών ιδιωτικών servers (VPS) από διαφορετικούς παρόχους, εκκινώντας γρήγορες εκρήξεις χιλιάδων μηνυμάτων ανά φορά από τους SMTP servers τους. Αυτά τα μηνύματα αποστέλλονταν στο Microsoft 365 για αναμετάδοση στους servers της Proofpoint,” δήλωσε η Proofpoint.
“Το Microsoft 365 αποδέχτηκε αυτά τα phishing email και τα προώθησε στις υποδομές email των πελατών για αναμετάδοση. Όταν το domain των πελατών πλαστογραφήθηκε κατά τη διάρκεια της αναμετάδοσης μέσω της υποδομής του πελάτη, η εφαρμογή της υπογραφής DKIM κατά την πορεία των μηνυμάτων μέσω της Proofpoint είχε ως αποτέλεσμα την αύξηση της παραδοτέας ικανότητας των ανεπιθύμητων μηνυμάτων.
Υπάρχουν υποψίες ότι οι χειριστές επέλεξαν σκόπιμα την τακτική του EchoSpoofing για να δημιουργήσουν παράνομες πηγές εσόδων, αποφεύγοντας ταυτόχρονα τον κίνδυνο έκθεσης για παρατεταμένες περιόδους. Η άμεση στόχευση εταιρειών θα μπορούσε να αυξήσει τις πιθανότητες εντοπισμού, θέτοντας σε κίνδυνο ολόκληρο το σχέδιο.
Ωστόσο, δεν είναι σαφές ποιος βρίσκεται πίσω από αυτή την εκστρατεία. Η Proofpoint ανέφερε ότι η δραστηριότητα δεν σχετίζεται με γνωστό παράγοντα ή ομάδα απειλής. “Τον Μάρτιο, οι ερευνητές της Proofpoint αναγνώρισαν καμπάνιες ανεπιθύμητης αλληλογραφίας που μεταδόθηκαν μέσω περιορισμένου αριθμού υποδομών email πελατών της Proofpoint, στέλνοντας ανεπιθύμητα μηνύματα από χρήστες του Microsoft 365,” δήλωσε η Proofpoint. “Όλες οι αναλύσεις δείχνουν ότι αυτή η δραστηριότητα προήλθε από έναν παράγοντα ανεπιθύμητης αλληλογραφίας, του οποίου την ταυτότητα δεν αποδίδουμε σε γνωστή οντότητα.”
Διαβάστε επίσης: Η ODPA ζητά αυξημένη ασφάλεια μετά τις επιθέσεις phishing στο Guernsey
“Από τη στιγμή που ανακαλύψαμε αυτή την καμπάνια ανεπιθύμητης αλληλογραφίας, εργαζόμαστε σκληρά για να παρέχουμε διορθωτικές οδηγίες, συμπεριλαμβανομένης της εφαρμογής μιας βελτιωμένης διαχειριστικής διεπαφής για τους πελάτες, ώστε να καθορίζουν ποιους ενοικιαστές M365 επιτρέπεται να αναμεταδίδουν, ενώ όλοι οι άλλοι χρήστες M365 απορρίπτονται αυτόματα.”
Η Proofpoint υπογράμμισε ότι δεν εκτέθηκαν δεδομένα πελατών ούτε υπήρξε απώλεια δεδομένων εξαιτίας αυτών των εκστρατείας. Επιπλέον, ανέφερε ότι επικοινώνησε απευθείας με ορισμένους πελάτες για να προσαρμόσει τις ρυθμίσεις τους, ώστε να περιορίσει την αποτελεσματικότητα της δραστηριότητας ανεπιθύμητης αναμετάδοσης εξερχόμενων μηνυμάτων.
«Καθώς αρχίσαμε να αποκλείουμε τη δραστηριότητα του spammer, αυτός επιτάχυνε τις δοκιμές του και γρήγορα στράφηκε σε άλλους πελάτες», ανέφερε η εταιρεία. «Δημιουργήσαμε μια συνεχή διαδικασία εντοπισμού των πελατών που πλήττονται καθημερινά, δίνοντας προτεραιότητα στην προσέγγιση για τη διόρθωση των ρυθμίσεών τους.
Για να περιορίσουν τα ανεπιθύμητα μηνύματα, οι πάροχοι VPS καλούνται να περιορίσουν τη δυνατότητα των χρηστών τους να στέλνουν μεγάλες ποσότητες μηνυμάτων μέσω των SMTP servers που φιλοξενούν στην υποδομή τους. Επιπλέον, οι πάροχοι υπηρεσιών email προτρέπονται να περιορίσουν τις δυνατότητες των δωρεάν δοκιμών και των μη επαληθευμένων νεοσύστατων επιχειρήσεων, ώστε να μην μπορούν να στέλνουν μαζικά εξερχόμενα emails. Είναι επίσης σημαντικό να εμποδίζουν την αποστολή μηνυμάτων που παραπλανούν σχετικά με την ιδιοκτησία domain για τους οποίους δεν υπάρχει κάποια απόδειξη ότι ανήκει σε εκείνους.
«Για τους CISO, η βασική πρόκληση είναι να διασφαλίσουν ότι η στάση του οργανισμού τους προς το cloud είναι σωστή, ιδιαίτερα όταν χρησιμοποιούνται third-party υπηρεσίες που αποτελούν τη ραχοκοκαλιά των δικτυακών και επικοινωνιακών διαδικασιών της εταιρείας», δήλωσε ο Tal. «Στο domain των email, είναι ζωτικής σημασίας να διατηρείτε πάντα έναν μηχανισμό ανατροφοδότησης και τον δικό σας έλεγχο, ακόμη κι αν έχετε πλήρη εμπιστοσύνη στον πάροχο email σας».
Δείτε περισσότερα: Οι Βορειοκορεάτες hackers Andariel στρέφονται στο ransomware
«Όσον αφορά τις άλλες εταιρείες που παρέχουν αυτού του είδους τις υπηρεσίες, όπως η Proofpoint, πρέπει να είναι σε εγρήγορση και να σκέφτονται προληπτικά για όλους τους πιθανούς τύπους απειλών. Όχι μόνο για απειλές που επηρεάζουν τους πελάτες τους, αλλά και για το ευρύτερο κοινό».
«Είναι ζωτικής σημασίας για την ασφάλεια όλων μας, και οι εταιρείες που δημιουργούν και διαχειρίζονται το διαδίκτυο, ακόμη και αν είναι ιδιωτικές, φέρουν τη μεγαλύτερη ευθύνη.
Πηγή: thehackernews
