Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Хакер использовал уязвимость в инструменте ProofPoint для рассылки писем от имён известних фирм

30/07/24

images - 2024-07-30T143048.778

Неизвестный злоумышленник использовал уязвимость в настройках маршрутизации электронной почты компании Proofpoint для массовой рассылки поддельных сообщений от имени известных компаний, таких как Best Buy, IBM, Nike и Walt Disney.

По данным исследователя из Guardio Labs, электронные письма отправлялись через официальные серверы Proofpoint с подлинными SPF и DKIM подписями, что позволяло обходить основные меры безопасности и вводить получателей в заблуждение для кражи средств и данных кредитных карт, пишет Securitylab.

Кампания получила название EchoSpoofing. Она началась в январе этого года и завершилась лишь в июне, когда Proofpoint начала принимать активные меры противодействия. Ежедневно злоумышленники отправляли в среднем по три миллиона писем, достигнув пика в 14 миллионов в один из июньских дней.

Метод подделки писем оказался настолько уникальным, что почти не оставлял шансов понять, что это не настоящие письма от компаний. Злоумышленники использовали серверы SMTP на виртуальных частных серверах (VPS), соблюдая все меры аутентификации, такие как SPF и DKIM, что делало фальшивые письма очень убедительными.

Письма маршрутизировались через клиентов Microsoft 365 (тенантов), контролируемых злоумышленниками, а затем передавались через инфраструктуру электронной почты клиентов Proofpoint к пользователям бесплатных почтовых сервисов, таких как Yahoo!, Gmail и GMX. Это стало возможно из-за ошибки конфигурации на серверах Proofpoint, дающей атакующим повышенные привилегии.

Основная проблема заключалась в возможности изменения настроек маршрутизации электронной почты на серверах Proofpoint, что позволяло пересылать сообщения от любых тенантов Microsoft 365, не указывая конкретные допустимые тенанты. Это привело к тому, что злоумышленники могли настроить поддельные тенанты и отправлять сообщения, которые пересылались через серверы Proofpoint и выглядели как подлинные.

Злоумышленники использовали взломанную версию программы PowerMTA для массовой рассылки сообщений, используя различные IP-адреса и VPS для отправки тысяч сообщений за раз. Эти письма принимались Microsoft 365 и пересылались через инфраструктуру Proofpoint с применением подписи DKIM, что делало их ещё более убедительными.

Основной целью EchoSpoofing было создание незаконного дохода и минимизация риска разоблачения, так как прямое обращение к компаниям могло бы значительно увеличить шансы на обнаружение схемы. Proofpoint заявила, что деятельность хакеров не совпадает с известными угрозами и группами. Специалисты компании подчеркнули, что данные клиентов не были скомпрометированы, и что им были предоставлены рекомендации для выявления фишинга.

Для уменьшения объёма спама Proofpoint призывает провайдеров VPS ограничить возможность отправки большого количества сообщений с их серверов и призывает почтовые сервисы ограничить возможности новых и неподтверждённых пользователей отправлять массовые сообщения и подделывать домены.

Темы:ПреступленияProofpointэлектронная почтаGuardio Labs
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...