Nel gennaio 2024 ha preso il via una vasta operazione di phishing denominata “EchoSpoofing” e resa possibile dallo sfruttamento di alcune vulnerabilità nelle autorizzazioni del servizio di protezione e-mail di Proofpoint, che ora sono state risolte.
Si è trattato di una campagna piuttosto aggressiva, con una media giornaliera di 3 milioni di e-mail contraffatte inviate e che ha visto gli attori di minaccia impersonare grandi realtà come Disney, Nike, IBM e Coca-Cola, prendendo di mira le società Fortune 100. Il picco della campagna si è verificato all’inizio di giugno, quando sono stati diffusi ben 14 milioni di messaggi in un solo giorno.
Il volume di attacchi di EchoSpoofing, come rilevato da Guardio Labs
Come sempre più di frequente avviene in operazioni di ampia portata, le tecniche utilizzate sono risultate essere particolarmente sofisticate. Gli aggressori hanno configurato i propri server SMTP per creare e-mail contraffatte con intestazioni manipolate, per poi inoltrarle attraverso i server relay di Proofpoint sfruttando account Microsoft Office 365 compromessi o non autorizzati.
L’infrastruttura utilizzata per l’attacco comprendeva Virtual Private Server (VPS) ospitati da OVHCloud e Centrilogic. I domini impiegati erano stati registrati tramite Namecheap. Gli aggressori sono riusciti a bypassare i controlli Sender Policy Framework grazie a una configurazione non ottimale: l’opzione per selezionare i servizi e-mail autorizzati all’inoltro includeva una selezione per Office 365 che creava un record SPF troppo permissivo. Questo consentiva a qualsiasi account Office 365/Microsoft 365 di inoltrare e-mail attraverso il servizio sicuro di Proofpoint.
Gli aggressori sono inoltre riusciti a sfruttare in maniera opportuna le firme Domain Keys Idenified Mail così da far sembrare del tutto legittime le email inviate. Dal momento che le email riuscivano a superare indenni sia i controlli SPF, sia i controlli DKIM, riuscivano ad essere consegnate nelle caselle di posta senza essere contrassegnate come spam. Il contenuto delle email era, com’è facilmente immaginabile, progettato appositamente per ingannare il destinatario sfruttando la leva dell’apparente autenticità e autorevolezza del mittente.
🚨Guardio Labs Exposes “EchoSpoofing”: A critical exploit of Proofpoint email protection service.
This phishing campaign sent millions of spoofed emails from brands like @Disney, @IBM, and @Nike, bypassing security protections to steal fundshttps://t.co/U1eSvpmm7w— Guardio (@GuardioSecurity) July 29, 2024
Guardio Labs ha svolto un ruolo cruciale nella scoperta di questa campagna e nell’identificazione della falla di sicurezza nei server relay e-mail di Proofpoint, sengalando a maggio 2024 quanto individuato. Proofpoint ha dichiarato di aver monitorato la campagna dal mese di marzo, riconoscendo che gli indicatori di compromissione condivisi da Guardio hanno consentito di mitigare gli attacchi con maggior efficacia, fornendo inoltre nuove indicazioni e raccomandazioni per la prevenzione futura.
Proofpoint ha riscontrato, nonostante precedenti indicazioni sulla corretta implementazione dei controlli anti-spoofing, che numerose realtà non avevano implementato queste misure permettendo quindi a campagne come EchoSpoofing di poter avere successo su larga scala. La società ha quindi contattato i clienti con impostazioni permissive per aiutarli a proteggere la configurazione dei loro account, introducendo inoltre l’intestazione “X-OriginatorOrg” per facilitare la verifica della fonte dell’e-mail e il filtraggio dei messaggi non legittimi.
È stata implementata una nuova schermata di configurazione per Microsoft 365 che consente ai clienti di impostare autorizzazioni più restrittive per specificare quali tenant di Microsoft 365 possono inoltrare e-mail attraverso i server di Proofpoint. Alcuni dei tenant che sono stati sfruttati per la campagna risultano, al momento della pubblicazione delle informazioni da parte di Proofpoint, ancora attivi.