Fortune 100 şirketini hedeflemek için Disney, Nike, IBM ve Coca-Cola gibi büyük varlıkları taklit eden milyonlarca insanlık e-postayı göndermek için Proofpoint'in e-posta koruma hizmetindeki "Echospoofing" olarak adlandırılan büyük bir kimlik avı kampanyası.
Kampanya Ocak 2024'te başladı ve günde ortalama 3 milyon sahte e -postayı yaydı ve Haziran başında 14 milyon e -postaya ulaştı.
Kimlik avı e -postaları, hassas kişisel bilgileri çalmak ve yetkisiz ücretler almak için tasarlanmıştır. Ayrıca, uygun şekilde yapılandırılmış Gönderen İlkesi Çerçevesi (SPF) ve Etki Alanı Anahtarları Tanımlanmış Posta (DKIM) imzalarını da içererek alıcılar için otantik görünmelerini sağladı.
Guardio Labs, Proofpoint'in e -posta röle sunucularındaki kimlik avı kampanyası ve güvenlik boşluğunun keşfedilmesine yardımcı oldu. Mayıs 2024'te firmayı bilgilendirdiler ve düzeltmelerine yardımcı oldular.
Kampanyayı yürütmek için tehdit aktörleri, manipüle edilmiş başlıklarla sahte e -postalar oluşturmak için kendi SMTP sunucularını kurdu ve daha sonra tehlikeye atılmış veya Rogue Microsoft Office 365 hesaplarını kullanarak ProofPoint'in röle sunucularından geçti.
Saldırganlar, bu e -postaları göndermek için Ovhcloud ve Centrilogic tarafından barındırılan sanal özel sunucular (VPS) kullandı ve Namecheap aracılığıyla kayıtlı çeşitli alan adlarını kullandı.
Tehdit aktörleri, e -posta güvenlik hizmetleri tarafından alanlarda yapılandırılmış çok izin veren bir SPF kaydı nedeniyle SPF kontrollerini geçebilir ve ProofPoint sunucuları aracılığıyla e -postalar gönderebilir.
Proofpoint'in e -posta ağ geçidini kullanacak bir etki alanı yapılandırırken, şirket e -postanın aktarılmasına izin vermek istediğiniz çeşitli e -posta hizmetlerini seçmek için bir yapılandırma seçeneği sunar.
Office 365 seçildiğinde, herhangi bir Office 365/Microsoft 365 hesabının E -postayı ProofPoint'in Güvenli E -posta Hizmeti aracılığıyla aktarmasına izin veren aşırı izin veren bir SPF kaydı oluşturuldu.
Varsayılan ayarda, belirli bir hesap veya kiracı belirtilemez. Bunun yerine, Proofpoint herhangi bir Office 365 IP adres aralığına güvendi, yani herhangi bir hesap rölesini kullanabilir.
DKIM için, bir şirket ProofPoint ile çalıştığında, DKIM özel anahtarlarını platforma yükler, böylece hizmetten akan e -postalar düzgün bir şekilde imzalanır.
E -postalar şimdi hem DKIM hem de SPF kontrollerini geçerken, spam olarak işaretlenmeden gelen kutulara teslim edilmesine izin verildi.
Guardio Labs, Gmail gibi büyük e -posta platformlarının bu e -postaları otantik olarak ele aldığını ve bunları insanların spam klasörlerine göndermek yerine, bunları gelen kutularına teslim ettiklerini açıklıyor.
E -postalarda, Kişisel Marka ile ilgili, hesap sonlandırma talep etme veya yenileme/ödeme onay talepleri ile ilgili yemleri içeriyordu.
Proofpoint'in koordineli bir raporunda şirket, Mart ayından bu yana bu kampanyayı izlediklerini söylüyor,
Guardio tarafından paylaşılan teknik IOC'lerle Proofpoint bu saldırıları daha da azaltabildi ve gelecekte bunları nasıl önleyeceğiniz konusunda yeni ayarlar ve tavsiyeler sağlayabildi.
Şirket, kullanıcıların sepet karşıtı kontroller ekleyebileceği ve e-posta güvenliğini nasıl sıkılaştırabilecekleri konusunda ayrıntılı bir kılavuza sahiptir, ancak bazı kuruluşlar kötüye kullanımı önlemek için bu manuel eylemlerden hiçbirini gerçekleştirmediler ve ekspospoofing gibi kampanyaların gerçekleşmesine izin veriyor.
Proofpoint, hesaplarının yapılandırmasını güvence altına almalarına yardımcı olmak için izinli ayarlara sahip müşterilere ulaştı.
Şirket, e-posta kaynağının doğrulanmasına ve yasadışı olmayan ve yetkisiz e-postaları filtrelemeye yardımcı olmak için 'X-Originatororg' başlığını tanıttı.
Ayrıca, yeni bir Microsoft 365 yerleşik yapılandırma ekranı, müşterilerin Microsoft 365 konektörlerinde daha kısıtlayıcı izinler yapılandırmasına olanak tanır. Bu izinler, Proofpoint'in sunucuları aracılığıyla aktarılabilecek Microsoft 365 kiracılarını belirtir.
Son olarak, Proofpoint etkilenen müşterilere kimlik avı aktörlerinin büyük ölçekli bir operasyonda markalarını başarıyla istismar ettiklerini bildirdi.
Microsoft, Microsoft 365 kötüye kullanımı hakkında da bilgilendirilmiş olsa da, rahatsız edici hesaplar bazıları yedi aydan fazla aktif kalır.
Kötü amaçlı yazılım dağıtım hizmeti tarafından kullanılan 3.000'den fazla GitHub hesabı
DNS Kaçakları Squarespace'e kayıtlı hedef kripto platformları
Sahte Crowdtrike Onarım Kılavuzu Yeni Infostealer kötü amaçlı yazılımını iter
Exchange Online Güvenlik Artışı için DNSSEC ile gelen Dane ekler
Kritik Cisco Bug, bilgisayar korsanlarının SEG cihazlarına kök kullanıcıları eklemesine izin verir
Kaynak: Bleeping Computer