Proofpoint 电子邮件路由漏洞被利用来发送数百万封欺骗性网络钓鱼电子邮件

一个未知的威胁行为者与一个大规模的诈骗活动有关，该活动利用电子邮件安全供应商 Proofpoint 防御中的电子邮件路由配置错误，发送了数百万条消息，欺骗了百思买、IBM、耐克和沃尔特迪斯尼等各种流行公司。

Guardio Labs研究员Nati Tal在与The Hacker News分享的一份详细报告中说：“这些电子邮件与经过身份验证的SPF和DKIM签名的官方Proofpoint电子邮件中继相呼应，从而绕过了主要的安全保护措施 – 所有这些都是为了欺骗收件人并窃取资金和信用卡详细信息。

这家网络安全公司将该活动命名为 EchoSpoofing。据信，该活动于 2024 年 1 月开始，威胁行为者利用这个漏洞平均每天发送多达 300 万封电子邮件，随着 Proofpoint 开始制定对策，这一数字在 6 月初达到 1400 万封的峰值。

“这个领域最独特和最强大的部分是欺骗方法 – 几乎没有机会意识到这不是这些公司发送的真实电子邮件，”Tal告诉该出版物。

“这个 EchoSpoofing 概念真的很强大。有点奇怪的是，它被用于像这样的大规模网络钓鱼，而不是精品鱼叉式网络钓鱼活动——攻击者可以迅速获取任何真实公司团队成员的身份并发送电子邮件给其他同事——最终，通过高质量的社会工程，获得对内部数据或凭据的访问权限，甚至危及整个公司。

该技术涉及威胁参与者从虚拟专用服务器 （VPS） 上的 SMTP 服务器发送消息，值得注意的是它符合身份验证和安全措施，例如 SPF 和 DKIM，它们分别是发件人策略框架和 DomainKeys Identified Mail 的缩写，并指的是旨在防止攻击者模仿合法域的身份验证方法。

这一切都可以追溯到这样一个事实，即这些消息是从各种对手控制的 Microsoft 365 租户路由的，然后通过 Proofpoint 企业客户的电子邮件基础设施进行中继，以到达 Yahoo！、Gmail 和 GMX 等免费电子邮件提供商的用户。

这是Guardio所描述的Proofpoint服务器（“pphosted.com”）中“超级允许的错误配置漏洞”的结果，该漏洞基本上允许垃圾邮件发送者利用电子邮件基础设施发送消息。

“根本原因是Proofpoint服务器上可修改的电子邮件路由配置功能，允许来自Microsoft 365租户的组织出站消息中继，但没有指定允许哪些M365租户，”Proofpoint在与The Hacker News共享的协调披露报告中说。

“任何提供此电子邮件路由配置功能的电子邮件基础设施都可能被垃圾邮件发送者滥用。”

换句话说，攻击者可以利用这个缺点来设置流氓 Microsoft 365 租户，并将欺骗性电子邮件发送到 Proofpoint 的中继服务器，从那里它们被“回显”为冒充客户域的真实数字信函。

反过来，这是通过将 Exchange Server 的传出电子邮件连接器直接配置到与客户关联的易受攻击的“pphosted.com”端点来实现的。此外，还使用名为 PowerMTA 的合法电子邮件传递软件的破解版本来发送消息。

Proofpoint说：“垃圾邮件发送者使用了来自多家提供商的一系列轮换租用的虚拟专用服务器（VPS），使用许多不同的IP地址从他们的SMTP服务器一次快速爆发数千条消息，这些消息被发送到Microsoft 365，再中继到Proofpoint托管的客户服务器。

“Microsoft 365 接受了这些欺骗性消息，并将它们发送到这些客户的电子邮件基础设施进行转发。当客户域在通过匹配客户的电子邮件基础设施中继时被欺骗时，DKIM签名也会在消息通过Proofpoint基础设施时应用，从而使垃圾邮件更具可传递性。

有人怀疑，运营商有意选择EchoSpoofing作为产生非法收入的一种方式，并避免长时间暴露的风险，因为通过这种作案手法直接针对公司可能会大大增加被发现的机会，有效地危及整个计划。

话虽如此，目前尚不清楚谁是该活动的幕后黑手。Proofpoint表示，该活动与任何已知的威胁行为者或组织都没有重叠。

该公司在一份声明中表示：“今年3月，Proofpoint研究人员发现，通过从Microsoft 365租户发送垃圾邮件，通过少数Proofpoint客户的电子邮件基础设施进行垃圾邮件活动。“所有分析都表明，这项活动是由一个垃圾邮件行为者进行的，我们不将其活动归因于已知实体。

“自从发现此垃圾邮件活动以来，我们一直在努力提供纠正说明，包括实施一个简化的管理界面，让客户指定允许哪些 M365 租户中继，而所有其他 M365 租户默认被拒绝。”

Proofpoint 强调，由于这些活动，没有暴露任何客户数据，也没有发生任何数据丢失。它进一步指出，它直接与一些客户联系，以更改他们的设置，以阻止出站中继垃圾邮件活动的有效性。

该公司指出：“当我们开始阻止垃圾邮件发送者的活动时，垃圾邮件发送者加快了测试速度，并迅速转向其他客户。“我们建立了一个持续的流程，每天识别受影响的客户，重新确定外展的优先级以修复配置。”

为了减少垃圾邮件，它敦促VPS提供商限制其用户从其基础设施上托管的SMTP服务器发送大量消息的能力。它还呼吁电子邮件服务提供商限制免费试用和新创建的未经验证的租户发送大量出站电子邮件的能力，并阻止他们发送欺骗他们没有证明所有权的域的消息。

Tal 说：“对于首席信息安全官来说，这里的主要收获是要格外注意他们组织的云态势——特别是使用第三方服务，这些服务将成为公司网络和通信方法的支柱。“特别是在电子邮件领域，即使您完全信任您的电子邮件提供商，也要始终保持自己的反馈循环和控制。”

“至于提供这种骨干服务的其他公司——就像 Proofpoint 所做的那样，他们必须保持警惕并积极主动地考虑所有可能的威胁类型。不仅直接影响客户的威胁，而且也影响更广泛的公众。

“这对我们所有人的安全都至关重要，创建和运营互联网骨干网的公司，即使是私营的，也对其负有最高责任。就像有人说的那样，在完全不同的背景下，但在这里却如此相关：’能力越大，责任越大。