تم استغلال ثغرة في توجيه البريد الإلكتروني في Proofpoint لإرسال الملايين من رسائل البريد الإلكتروني المخادعة

تم ربط جهة تهديد غير معروفة بحملة احتيال ضخمة استغلت التكوين الخاطئ لتوجيه البريد الإلكتروني في دفاعات شركة Proofpoint لأمن البريد الإلكتروني لإرسال ملايين الرسائل التي تنتحل العديد من الشركات الشهيرة مثل Best Buy وIBM وNike وWalt Disney وغيرها.

“تردد صدى رسائل البريد الإلكتروني هذه من رسائل البريد الإلكتروني الرسمية لـ Proofpoint مع توقيعات SPF وDKIM الموثقة، وبالتالي تجاوز وسائل الحماية الأمنية الرئيسية – كل ذلك لخداع المستلمين وسرقة الأموال وتفاصيل بطاقة الائتمان،” ناتي تال، الباحث في Guardio Labs قال في تقرير مفصل تمت مشاركته مع The Hacker News.

أعطت شركة الأمن السيبراني الاسم للحملة انتحال الصدى. ويُعتقد أن النشاط قد بدأ في يناير 2024، حيث استغل ممثل التهديد الثغرة لإرسال ما يصل إلى ثلاثة ملايين رسالة بريد إلكتروني يوميًا في المتوسط، وهو رقم وصل إلى ذروته عند 14 مليونًا في أوائل يونيو عندما بدأت Proofpoint في سن إجراءات مضادة.

وقال تال للنشر: “الجزء الأكثر تميزًا وقوة في هذا المجال هو طريقة الانتحال – دون ترك أي فرصة تقريبًا لإدراك أن هذه ليست رسالة بريد إلكتروني حقيقية مرسلة من تلك الشركات”.

“إن مفهوم EchoSpoofing قوي حقًا. إنه أمر غريب نوعًا ما أن يتم استخدامه للتصيد الاحتيالي واسع النطاق مثل هذا بدلاً من حملة التصيد الاحتيالي المتخصصة – حيث يمكن للمهاجم أن يأخذ هوية أي عضو حقيقي في فريق الشركة بسرعة ويرسل رسائل بريد إلكتروني إلى أعضاء آخرين -العمال – في نهاية المطاف، من خلال الهندسة الاجتماعية عالية الجودة، يمكنهم الوصول إلى البيانات الداخلية أو بيانات الاعتماد وحتى تعريض الشركة بأكملها للخطر.

تتميز هذه التقنية، التي تنطوي على قيام جهة التهديد بإرسال الرسائل من خادم SMTP على خادم افتراضي خاص (VPS)، بأنها تتوافق مع المصادقة والتدابير الأمنية مثل SPF وDKIM، وهما اختصاران لـ Sender Policy Framework وDomainKeys Identified Mail، على التوالي، وتشيران إلى أساليب المصادقة المصممة لمنع المهاجمين من تقليد مجال شرعي.

يعود كل ذلك إلى حقيقة أن هذه الرسائل يتم توجيهها من مستأجري Microsoft 365 المختلفين الذين يسيطر عليهم الخصم، والتي يتم بعد ذلك ترحيلها من خلال البنية التحتية للبريد الإلكتروني لعملاء مؤسسة Proofpoint للوصول إلى مستخدمي موفري البريد الإلكتروني المجاني مثل Yahoo! وGmail وGMX.

هذا هو نتيجة ما وصفه Guardio بأنه “خلل في التكوين الخاطئ للغاية” في خوادم Proofpoint (“pphosted.com”) والذي سمح بشكل أساسي لمرسلي البريد العشوائي بالاستفادة من البنية التحتية للبريد الإلكتروني لإرسال الرسائل.

“السبب الجذري هو ميزة تكوين توجيه البريد الإلكتروني القابلة للتعديل على خوادم Proofpoint للسماح بترحيل الرسائل الصادرة للمؤسسات من مستأجري Microsoft 365، ولكن دون تحديد مستأجري M365 الذين سيتم السماح لهم بذلك،” Proofpoint قال في تقرير إفصاح منسق تمت مشاركته مع The Hacker News.

“يمكن إساءة استخدام أي بنية أساسية للبريد الإلكتروني توفر ميزة تكوين توجيه البريد الإلكتروني هذه من قبل مرسلي البريد العشوائي.”

وبعبارة أخرى، يمكن للمهاجم استغلال النقص كسلاح لإعداد مستأجري Microsoft 365 المارقين وتسليم رسائل بريد إلكتروني مخادعة إلى خوادم الترحيل الخاصة بـ Proofpoint، حيث يتم “إرجاعها مرة أخرى” كرسائل رقمية حقيقية تنتحل صفة نطاقات العملاء.

ويتم تحقيق ذلك بدوره عن طريق تكوين موصل البريد الإلكتروني الصادر لخادم Exchange مباشرة إلى نقطة النهاية pphosted.com الضعيفة المرتبطة بالعميل. علاوة على ذلك، تم استدعاء نسخة متصدعة من برنامج تسليم البريد الإلكتروني الشرعي PowerMTA يستخدم لإرسال الرسائل.

“استخدم مرسلي البريد العشوائي سلسلة دورية من الخوادم الافتراضية الخاصة المؤجرة (VPS) من العديد من موفري الخدمة، باستخدام العديد من عناوين IP المختلفة لبدء دفعات سريعة من آلاف الرسائل في المرة الواحدة من خوادم SMTP الخاصة بهم، وإرسالها إلى Microsoft 365 ليتم ترحيلها إلى Proofpoint- قال Proofpoint: “خوادم العملاء المستضافة”.

“قبل Microsoft 365 هذه الرسائل المخادعة وأرسلها إلى البنية التحتية للبريد الإلكتروني لهؤلاء العملاء ليتم ترحيلها. عندما تم انتحال نطاقات العميل أثناء الترحيل عبر البنية الأساسية للبريد الإلكتروني للعميل المطابق، تم تطبيق توقيع DKIM أيضًا أثناء انتقال الرسائل عبر البنية التحتية لـ Proofpoint، مما يجعل رسائل البريد العشوائي أكثر قابلية للتسليم.”

يُشتبه في أن EchoSpoofing قد تم اختياره عمدًا من قبل المشغلين كوسيلة لتحقيق إيرادات غير قانونية بالإضافة إلى تجنب مخاطر التعرض لفترات طويلة من الوقت، حيث أن استهداف الشركات بشكل مباشر عبر طريقة العمل هذه كان من الممكن أن يزيد بشكل كبير من فرص اكتشافها. ، مما يعرض المخطط بأكمله للخطر بشكل فعال.

ومع ذلك، ليس من الواضح حاليًا من يقف وراء الحملة. وقال Proofpoint إن النشاط لا يتداخل مع أي جهة أو مجموعة تهديد معروفة.

وقالت في بيان: “في مارس، حدد باحثو Proofpoint حملات البريد العشوائي التي يتم ترحيلها عبر عدد صغير من البنية التحتية للبريد الإلكتروني لعملاء Proofpoint عن طريق إرسال بريد عشوائي من مستأجري Microsoft 365”. “تشير جميع التحليلات إلى أن هذا النشاط أجراه أحد ممثلي البريد العشوائي، ولا ننسب نشاطه إلى كيان معروف.”

“منذ اكتشاف حملة البريد العشوائي هذه، عملنا بجد لتوفير الإرشادات التصحيحية، بما في ذلك تنفيذ واجهة إدارية مبسطة للعملاء لتحديد مستأجري M365 المسموح لهم بالترحيل، مع رفض جميع مستأجري M365 الآخرين افتراضيًا.”

وأكدت Proofpoint أنه لم يتم الكشف عن أي بيانات للعملاء، ولم يتعرض أي منهم لفقدان البيانات نتيجة لهذه الحملات. وأشارت أيضًا إلى أنها تواصلت مع بعض عملائها مباشرةً لتغيير إعداداتهم لوقف فعالية نشاط البريد العشوائي للترحيل الصادر.

وأشارت الشركة إلى أنه “عندما بدأنا في حظر نشاط مرسلي البريد العشوائي، قام مرسلي البريد العشوائي بتسريع اختباراته وانتقلوا بسرعة إلى عملاء آخرين”. “لقد أنشأنا عملية مستمرة لتحديد العملاء المتأثرين كل يوم، وإعادة ترتيب أولويات التواصل لإصلاح التكوينات.”

لتقليل البريد العشوائي، تحث موفري خدمة VPS على الحد من قدرة مستخدميهم على إرسال كميات كبيرة من الرسائل من خوادم SMTP المستضافة على البنية التحتية الخاصة بهم. كما أنها تدعو موفري خدمة البريد الإلكتروني إلى تقييد إمكانيات الإصدار التجريبي المجاني والمستأجرين الذين لم يتم التحقق منهم حديثًا لإرسال رسائل بريد إلكتروني صادرة مجمعة بالإضافة إلى منعهم من إرسال رسائل تنتحل نطاقًا ليس لديهم ملكية مثبتة له.

وقال تال: “بالنسبة لرؤساء أمن المعلومات، فإن أهم ما يجب تعلمه هنا هو الاهتمام بشكل أكبر بالوضع السحابي لمؤسستهم – وتحديدًا باستخدام خدمات الطرف الثالث التي تصبح العمود الفقري لأساليب التواصل والشبكات الخاصة بشركتك”. “في مجال رسائل البريد الإلكتروني على وجه التحديد، احتفظ دائمًا بحلقة التعليقات والتحكم بنفسك – حتى لو كنت تثق بمزود البريد الإلكتروني الخاص بك تمامًا.”

“وأما بالنسبة للشركات الأخرى التي تقدم هذا النوع من الخدمات الأساسية – تمامًا كما فعلت Proofpoint، فيجب عليها أن تكون يقظة واستباقية في التفكير في جميع أنواع التهديدات المحتملة في المقام الأول. ليس فقط التهديدات التي تؤثر بشكل مباشر على عملائها ولكن على الجمهور الأوسع أيضًا حسنًا.

“هذا أمر بالغ الأهمية لسلامتنا جميعًا، كما تتحمل الشركات التي تنشئ وتدير العمود الفقري للإنترنت، حتى لو كانت مملوكة للقطاع الخاص، أكبر قدر من المسؤولية عنه. تمامًا كما قال أحدهم، في سياق مختلف تمامًا ولكنه وثيق الصلة هنا: “مع القوى العظمى، تأتي مسؤولية كبيرة.”