Een onbekende dreigingsactor is in verband gebracht met een grootschalige oplichtingscampagne die misbruik maakte van een verkeerde configuratie van e-mailroutering in de verdediging van e-mailbeveiligingsleverancier Proofpoint. Hiermee werden miljoenen berichten verzonden waarin verschillende populaire bedrijven werden nagebootst, zoals Best Buy, IBM, Nike en Walt Disney.
“Deze e-mails kwamen overeen met officiële Proofpoint-e-mailrelays met geverifieerde SPF- en DKIM-handtekeningen, waardoor belangrijke beveiligingsmaatregelen werden omzeild. Dit alles om ontvangers te misleiden en geld en creditcardgegevens te stelen”, aldus onderzoeker Nati Tal van Guardio Labs in een gedetailleerd rapport dat werd gedeeld met The Hacker News.
Het cybersecuritybedrijf heeft de campagne de naam gegeven EchospoofingEr wordt aangenomen dat de activiteit in januari 2024 is begonnen, waarbij de dreigingsactor het lek misbruikte om gemiddeld drie miljoen e-mails per dag te versturen, een aantal dat begin juni een piek van 14 miljoen bereikte toen Proofpoint tegenmaatregelen begon te nemen.
“Het meest unieke en krachtige onderdeel van dit domein is de spoofingmethode, waardoor je bijna niet kunt zien dat het om een echte e-mail gaat die door die bedrijven is verzonden”, vertelde Tal aan de publicatie.
“Dit EchoSpoofing-concept is echt krachtig. Het is een beetje vreemd dat het wordt gebruikt voor grootschalige phishing zoals deze in plaats van een kleine spear-phishingcampagne, waarbij een aanvaller snel de identiteit van een echt teamlid van het bedrijf kan overnemen en e-mails naar andere collega’s kan sturen. Uiteindelijk kan hij via hoogwaardige social engineering toegang krijgen tot interne gegevens of inloggegevens en zelfs het hele bedrijf in gevaar brengen.
De techniek, waarbij de kwaadwillende partij de berichten verstuurt vanaf een SMTP-server op een virtuele privéserver (VPS), valt op door het feit dat deze voldoet aan authenticatie- en beveiligingsmaatregelen zoals SPF en DKIM (de afkortingen van respectievelijk Sender Policy Framework en DomainKeys Identified Mail). Deze authenticatiemethoden zijn bedoeld om te voorkomen dat aanvallers een legitiem domein imiteren.
Het komt allemaal neer op het feit dat deze berichten worden gerouteerd vanaf verschillende door tegenstanders beheerde Microsoft 365-tenants. Deze berichten worden vervolgens via de e-mailinfrastructuren van Proofpoint Enterprise-klanten doorgestuurd naar gebruikers van gratis e-mailproviders zoals Yahoo!, Gmail en GMX.
Dit is het resultaat van wat Guardio omschreef als een “super-permissieve configuratiefout” in Proofpoint-servers (“pphosted.com”), waardoor spammers misbruik konden maken van de e-mailinfrastructuur om berichten te versturen.
“De hoofdoorzaak is een aanpasbare configuratiefunctie voor e-mailroutering op Proofpoint-servers om doorsturen van uitgaande berichten van organisaties vanuit Microsoft 365-tenants mogelijk te maken, maar zonder aan te geven welke M365-tenants moeten worden toegestaan”, aldus Proofpoint in een gecoördineerd openbaarmakingsrapport dat is gedeeld met The Hacker News.
“Elke e-mailinfrastructuur die deze functie voor e-mailrouteringsconfiguratie biedt, kan door spammers worden misbruikt.”
Met andere woorden, een aanvaller kan de tekortkoming misbruiken om malafide Microsoft 365-tenants op te zetten en vervalste e-mailberichten naar de relayservers van Proofpoint te sturen. Van daaruit worden de berichten als echte digitale berichten teruggestuurd die de domeinen van de klanten imiteren.
Dit wordt op zijn beurt bereikt door de uitgaande e-mailconnector van de Exchange Server rechtstreeks te configureren naar het kwetsbare pphosted.com-eindpunt dat aan de klant is gekoppeld. Bovendien wordt een gekraakte versie van een legitieme e-mailbezorgsoftware genaamd PowerMTA gebruikt voor het verzenden van de berichten.
“De spammer gebruikte een wisselende reeks geleasede virtuele privéservers (VPS) van verschillende providers, met veel verschillende IP-adressen om snel duizenden berichten tegelijk te versturen vanaf hun SMTP-servers. Deze berichten werden naar Microsoft 365 gestuurd om te worden doorgestuurd naar door Proofpoint gehoste servers van klanten”, aldus Proofpoint.
“Microsoft 365 accepteerde deze vervalste berichten en stuurde ze naar de e-mailinfrastructuren van deze klanten om te worden doorgestuurd. Wanneer klantdomeinen werden vervalst tijdens het doorsturen via de overeenkomende e-mailinfrastructuur van de klant, werd DKIM-ondertekening ook toegepast terwijl de berichten door de Proofpoint-infrastructuur werden getransporteerd, waardoor de spamberichten beter leverbaar werden.”
Er wordt vermoed dat de exploitanten bewust voor EchoSpoofing hebben gekozen om illegale inkomsten te genereren en om het risico van blootstelling gedurende langere tijd te vermijden. Door de bedrijven via deze modus operandi rechtstreeks aan te vallen, zou de kans op detectie namelijk drastisch zijn toegenomen, waardoor de hele opzet in gevaar zou komen.
Dat gezegd hebbende, is het momenteel niet duidelijk wie er achter de campagne zit. Proofpoint zei dat de activiteit niet overlapt met een bekende dreigingsactoren of groep.
“In maart identificeerden Proofpoint-onderzoekers spamcampagnes die werden doorgegeven via de e-mailinfrastructuur van een klein aantal Proofpoint-klanten door spam te versturen vanaf Microsoft 365-tenants”, aldus een verklaring. “Alle analyses geven aan dat deze activiteit werd uitgevoerd door één spam-actor, wiens activiteit we niet toeschrijven aan een bekende entiteit.”
“Sinds we deze spamcampagne ontdekten, hebben we hard gewerkt aan corrigerende instructies, waaronder de implementatie van een gestroomlijnde administratieve interface waarmee klanten kunnen aangeven welke M365-tenants e-mail mogen doorsturen, terwijl alle andere M365-tenants standaard worden geweigerd.”
Proofpoint benadrukte dat er geen klantgegevens werden blootgesteld, noch dat er gegevensverlies was opgetreden als gevolg van deze campagnes. Het merkte verder op dat het rechtstreeks contact opnam met een aantal van zijn klanten om hun instellingen te wijzigen om de effectiviteit van de spamactiviteit van de uitgaande relay te stoppen.
“Toen we de activiteit van de spammer begonnen te blokkeren, versnelde de spammer zijn testen en verplaatste zich snel naar andere klanten,” benadrukte het bedrijf. “We hebben een continu proces opgezet om elke dag de getroffen klanten te identificeren, waarbij we de outreach opnieuw prioriteerden om configuraties te repareren.”
Om spam te verminderen, dringt het er bij VPS-providers op aan om de mogelijkheid van hun gebruikers om grote volumes berichten te versturen vanaf SMTP-servers die op hun infrastructuur worden gehost, te beperken. Het roept ook e-mail service providers op om de mogelijkheden van gratis proefversies en nieuw gecreëerde ongeverifieerde tenants om bulk uitgaande e-mailberichten te versturen te beperken en te voorkomen dat ze berichten versturen die een domein spoofen waarvan ze geen bewezen eigenaarschap hebben.
“Voor CISO’s is de belangrijkste les hier om extra zorg te besteden aan de cloudhouding van hun organisatie, met name door gebruik te maken van services van derden die de ruggengraat vormen van de netwerk- en communicatiemethoden van uw bedrijf”, aldus Tal. “Met name op het gebied van e-mails, zorg altijd voor een feedbackloop en controle over uw eigen feedback, zelfs als u uw e-mailprovider volledig vertrouwt.”
“En wat betreft andere bedrijven die dit soort backbone-services leveren – net als Proofpoint, moeten zij waakzaam en proactief zijn in het bedenken van alle mogelijke soorten bedreigingen in de eerste plaats. Niet alleen bedreigingen die direct hun klanten treffen, maar ook het bredere publiek.
“Dit is cruciaal voor de veiligheid van ons allemaal en bedrijven die de ruggengraat van het internet creëren en beheren, zelfs als ze in privébezit zijn, dragen de hoogste verantwoordelijkheid. Zoals iemand zei, in een heel andere context maar hier zo relevant: ‘Met grote machten komt grote verantwoordelijkheid.'”
