Eine massive Phishing-Kampagne, genannt „EchoSpoofing“, nutzte nun behobene, schwache Berechtigungen im E-Mail-Schutzdienst von Proofpoint aus, um täglich Millionen gefälschter E-Mails zu versenden. Diese E-Mails imitierten große Unternehmen wie Disney, Nike, IBM und Coca-Cola und zielten auf Fortune-100-Unternehmen ab.
Die Kampagne begann im Januar 2024 und versandte durchschnittlich 3 Millionen gefälschte E-Mails pro Tag, mit einem Höchststand von 14 Millionen E-Mails Anfang Juni.
Ziel der Phishing-E-Mails
Die Phishing-E-Mails waren darauf ausgelegt, sensible persönliche Informationen zu stehlen und unbefugte Belastungen zu verursachen. Sie enthielten korrekt konfigurierte Sender Policy Framework (SPF)- und Domain Keys Identified Mail (DKIM)-Signaturen, wodurch sie für die Empfänger authentisch wirkten.
Guardio Labs entdeckte die Phishing-Kampagne und die Sicherheitslücke in den E-Mail-Relay-Servern von Proofpoint. Im Mai 2024 informierten sie das Unternehmen und halfen, die Lücke zu schließen.
Die EchoSpoofing-Kampagne
Um die Kampagne durchzuführen, richteten die Bedrohungsakteure eigene SMTP-Server ein, um gefälschte E-Mails mit manipulierten Headern zu erstellen. Diese E-Mails wurden dann über die Relay-Server von Proofpoint mithilfe kompromittierter oder betrügerischer Microsoft Office 365-Konten weitergeleitet.
Die Angreifer nutzten Virtual Private Servers (VPS), die von OVHCloud und Centrilogic gehostet wurden, um diese E-Mails zu versenden, und verwendeten verschiedene Domains, die über Namecheap registriert wurden.
Durch eine sehr permissive SPF-Konfiguration auf den Domains der E-Mail-Sicherheitsdienste konnten die Bedrohungsakteure SPF-Prüfungen bestehen und E-Mails über die Server von Proofpoint senden.
Sicherheitslücke in der SPF-Konfiguration
Bei der Konfiguration einer Domain zur Nutzung des E-Mail-Gateways von Proofpoint bot das Unternehmen eine Konfigurationsoption zur Auswahl der verschiedenen E-Mail-Dienste, über die E-Mails weitergeleitet werden sollen.
Wenn Office 365 ausgewählt wurde, wurde ein zu permissives SPF-Record erstellt, das es jedem Office 365/Microsoft 365-Konto ermöglichte, E-Mails über den sicheren E-Mail-Dienst von Proofpoint zu senden.
plaintextCode kopiereninclude:spf.protection.outlook.com include:spf-00278502.pphosted.com
Auf der Standardeinstellung konnten keine spezifischen Konten oder Tenants festgelegt werden. Stattdessen vertraute Proofpoint jedem IP-Adressbereich von Office 365, was bedeutete, dass jedes Konto das Relay nutzen konnte.
Verstärkte Sicherheit bei Proofpoint
In einem koordinierten Bericht erklärte Proofpoint, dass sie diese Kampagne seit März überwacht hatten. Mit den von Guardio geteilten technischen IOCs konnte Proofpoint diese Angriffe weiter abschwächen und neue Einstellungen und Ratschläge zur Verhinderung solcher Angriffe bereitstellen.
Das Unternehmen hat einen detaillierten Leitfaden erstellt, wie Benutzer Anti-Spoofing-Prüfungen hinzufügen und ihre E-Mail-Sicherheit verschärfen können. Einige Organisationen hatten jedoch keine dieser manuellen Maßnahmen ergriffen, was es Kampagnen wie EchoSpoofing ermöglichte, sich zu materialisieren.
Proofpoint kontaktierte Kunden mit permissiven Einstellungen, um ihnen bei der Sicherung ihrer Kontoeinstellungen zu helfen. Das Unternehmen führte den ‚X-OriginatorOrg‘-Header ein, um die E-Mail-Quelle zu verifizieren und nicht legitime und unbefugte E-Mails herauszufiltern.
Eine neue Konfigurationsseite für die Microsoft 365-Onboarding erlaubt es Kunden, restriktivere Berechtigungen für Microsoft 365-Connectors zu konfigurieren. Diese Berechtigungen spezifizieren die Microsoft 365-Tenants, die über die Server von Proofpoint weitergeleitet werden können.
Abschließend hat Proofpoint betroffene Kunden darüber informiert, dass Phishing-Akteure erfolgreich ihre Marken in einer groß angelegten Operation missbraucht haben. Obwohl auch Microsoft über den Missbrauch von Microsoft 365 informiert wurde, bleiben die betreffenden Konten weiterhin aktiv, einige davon seit über sieben Monaten.