Мое примечание: описанный конкретный метод уже неактуален, но его можно додумать (попытки додумать).
Кампания началась в январе 2024 с ежедневной рассылки в среднем 3 миллионов поддельных писем и достигнула пика в июне - с количеством 14 миллионов разосланных писем.
Объем рассылаемых писем в кампании "EchoSpoofing"
Источник: Guardio Labs
Фишинговые письма были созданы для того, чтобы украсть чувствительные личные данные для осуществления несанкционированных платежей. Злоумышленникам удалось правильно настроить подписи Sender Policy Framework (SPF) и Domain Keys Identified Mail (DKIM), благодаря чему их письма казались получателям настоящими.
Схема фишинговой атаки
Источник: Guardio Labs
Guardio Labs смогли обнаружить фишинговую кампанию и пробел в безопасности в настройке почтовых релеев Proofpoint'а. В мае 2024 они связались с компанией и помогли устранить им имеющиеся недочеты.
Кампания EchoSpoofing
Для осуществления кампании злоумышленники настроили собственные SMTP серверы для рассылки поддельных писем с измененными заголовками, а затем разослали и через почтовые релеи Proofpoint с использованием скомпрометированных или созданных ими учетных записей Microsoft Office 365.
Чтобы разослать письма, ОПГшники использовали виртуальные серверы (VPS) OVHCloud и Centrilogic, и различные домены, зарегистрированные через Namecheap.
Инфраструктура злоумышленников
Источник: Guardio Labs
Злоумышленники смогли пройти проверку SPF и разослать письма через релеи Proofpoint из-за некорректно настроенной записи SPF с избыточными разрешениями.
При настройке домена для использования почтового шлюза Proofpoint компания предоставляла возможность выбора различных почтовых служб, через которые вы хотите разрешить ретрансляцию электронной почты.
При выборе Office 365 создавалась чрезмерно разрешительная запись SPF, позволяющая любой учетной записи Office 365/Microsoft 365 ретранслировать электронную почту через релей Proofpoint.
В настройках по умолчанию не было указано каких-либо конкретных аккаунтов или арендаторов Office 365/Microsoft 365, то есть релей Proofpoint доверял любому диапазону IP-адресов с Office 365, а это значит любая учетная запись могла использовать его как релей.
Что касается DKIM, то, когда компания работает с Proofpoint, она загружает свои закрытые ключи DKIM на платформу, чтобы электронные письма, проходящие через сервис, были надлежащим образом подписаны.
Поскольку теперь электронные письма прошли проверки DKIM и SPF, их можно было доставлять в почтовые ящики, не помечая как спам.
Guardio Labs разъяснили, что популярные платформы электронной почты, например Gmail, считали эти письма подлинными и вместо того, чтобы отправлять их в папки со спамом, доставляли их в инбокс пользователей.
Хедеры писем от начала до конца
Источник: Guardio Labs
В фишинговых письмах использовались схемы, когда используя настоящий бренд, пользователей мотивировали перейти по ссылке под предлогом истечения срока действия их учетной записи или запросами на продление/одобрение оплаты.
Пример письма кампании
Источник: Guardio Labs
Proofpoint усиливает меры безопасности
В совместном отчете Proofpoint сообщается, что они отслеживали эту кампанию, и начиная с марта с помощью технических индикаторов (IOC) предоставленных Guardio, Proofpoint удалось нивилировать последствия атаки, исправить настройки и выработать рекомендации по предотвращению таких атак в будущем.
У компании есть подробное руководство о том, как пользователи могут проверить почтовые сервера на предмет возможности спуфинга и усилить безопасность своей электронной почты. К сожалению, некоторые организации не выполнили ни одной из рекомендаций для предотвращения злоупотреблений, что позволяет реализовать такие кампании как EchoSpoofing в будущем.
Компания Proofpoint обращается к клиентам с разрешительными настройками почтовых серверов защитить конфигурации их учетных записей.
Компания представила заголовок «X-OriginatorOrg», который помогает проверять источник электронной почты и отфильтровать нелегитимные и неавторизованные электронные письма.
Кроме того, новый экран конфигурации подключения Microsoft 365 позволяет клиентам настраивать более строгие разрешения на коннекторах Microsoft 365. Эти разрешения проверяют клиентов Microsoft 365, которые могут быть переданы через серверы Proofpoint.
Новый фильтр (вверху) и экран регистрации (внизу)
Источник: Guardio Labs
И наконец, Proofpoint уведомил пострадавших клиентов о том, что мошенники успешно злоупотребляли их брендами в ходе крупномасштабной фишинговой кампании. Несмотря на то, что Microsoft также была уведомлена о злоупотреблении в аккаунтах Microsoft 365, многие аккаунты-нарушители до сих пор остаются остаются активными, некоторые — более семи месяцев.
Источник: https://www.bleepingcomputer[.]com / news/security/proofpoint-settings-exploited-to-send-millions-of-phishing-emails-daily/
Настройки Proofpoint релея позволили рассылать ежедневно миллионы фишинговых писем
Глобальная фишинговая компания под названием "EchoSpoofing" эксплуатировала слабые настройки в сервисе Proofpoint (сейчас исправлено), что позволило разослать миллионы фишинговых писем, выдавая себя за такие большие фирмы как Disney, Nike, IBM, и Coca-Cola, нацеленных на компании из списка Fortune 100.Кампания началась в январе 2024 с ежедневной рассылки в среднем 3 миллионов поддельных писем и достигнула пика в июне - с количеством 14 миллионов разосланных писем.
Объем рассылаемых писем в кампании "EchoSpoofing"
Источник: Guardio Labs
Фишинговые письма были созданы для того, чтобы украсть чувствительные личные данные для осуществления несанкционированных платежей. Злоумышленникам удалось правильно настроить подписи Sender Policy Framework (SPF) и Domain Keys Identified Mail (DKIM), благодаря чему их письма казались получателям настоящими.
Схема фишинговой атаки
Источник: Guardio Labs
Guardio Labs смогли обнаружить фишинговую кампанию и пробел в безопасности в настройке почтовых релеев Proofpoint'а. В мае 2024 они связались с компанией и помогли устранить им имеющиеся недочеты.
Кампания EchoSpoofing
Для осуществления кампании злоумышленники настроили собственные SMTP серверы для рассылки поддельных писем с измененными заголовками, а затем разослали и через почтовые релеи Proofpoint с использованием скомпрометированных или созданных ими учетных записей Microsoft Office 365.
Чтобы разослать письма, ОПГшники использовали виртуальные серверы (VPS) OVHCloud и Centrilogic, и различные домены, зарегистрированные через Namecheap.
Инфраструктура злоумышленников
Источник: Guardio Labs
Злоумышленники смогли пройти проверку SPF и разослать письма через релеи Proofpoint из-за некорректно настроенной записи SPF с избыточными разрешениями.
При настройке домена для использования почтового шлюза Proofpoint компания предоставляла возможность выбора различных почтовых служб, через которые вы хотите разрешить ретрансляцию электронной почты.
При выборе Office 365 создавалась чрезмерно разрешительная запись SPF, позволяющая любой учетной записи Office 365/Microsoft 365 ретранслировать электронную почту через релей Proofpoint.
include:spf.protection.outlook.com include:spf-00278502.pphosted.comВ настройках по умолчанию не было указано каких-либо конкретных аккаунтов или арендаторов Office 365/Microsoft 365, то есть релей Proofpoint доверял любому диапазону IP-адресов с Office 365, а это значит любая учетная запись могла использовать его как релей.
Что касается DKIM, то, когда компания работает с Proofpoint, она загружает свои закрытые ключи DKIM на платформу, чтобы электронные письма, проходящие через сервис, были надлежащим образом подписаны.
Поскольку теперь электронные письма прошли проверки DKIM и SPF, их можно было доставлять в почтовые ящики, не помечая как спам.
Guardio Labs разъяснили, что популярные платформы электронной почты, например Gmail, считали эти письма подлинными и вместо того, чтобы отправлять их в папки со спамом, доставляли их в инбокс пользователей.
Хедеры писем от начала до конца
Источник: Guardio Labs
В фишинговых письмах использовались схемы, когда используя настоящий бренд, пользователей мотивировали перейти по ссылке под предлогом истечения срока действия их учетной записи или запросами на продление/одобрение оплаты.
Пример письма кампании
Источник: Guardio Labs
Proofpoint усиливает меры безопасности
В совместном отчете Proofpoint сообщается, что они отслеживали эту кампанию, и начиная с марта с помощью технических индикаторов (IOC) предоставленных Guardio, Proofpoint удалось нивилировать последствия атаки, исправить настройки и выработать рекомендации по предотвращению таких атак в будущем.
У компании есть подробное руководство о том, как пользователи могут проверить почтовые сервера на предмет возможности спуфинга и усилить безопасность своей электронной почты. К сожалению, некоторые организации не выполнили ни одной из рекомендаций для предотвращения злоупотреблений, что позволяет реализовать такие кампании как EchoSpoofing в будущем.
Компания Proofpoint обращается к клиентам с разрешительными настройками почтовых серверов защитить конфигурации их учетных записей.
Компания представила заголовок «X-OriginatorOrg», который помогает проверять источник электронной почты и отфильтровать нелегитимные и неавторизованные электронные письма.
Кроме того, новый экран конфигурации подключения Microsoft 365 позволяет клиентам настраивать более строгие разрешения на коннекторах Microsoft 365. Эти разрешения проверяют клиентов Microsoft 365, которые могут быть переданы через серверы Proofpoint.
Новый фильтр (вверху) и экран регистрации (внизу)
Источник: Guardio Labs
И наконец, Proofpoint уведомил пострадавших клиентов о том, что мошенники успешно злоупотребляли их брендами в ходе крупномасштабной фишинговой кампании. Несмотря на то, что Microsoft также была уведомлена о злоупотреблении в аккаунтах Microsoft 365, многие аккаунты-нарушители до сих пор остаются остаются активными, некоторые — более семи месяцев.
Источник: https://www.bleepingcomputer[.]com / news/security/proofpoint-settings-exploited-to-send-millions-of-phishing-emails-daily/
Только это другая история.