“EchoSpoofing” adı verilen büyük çaplı bir kimlik avı kampanyası, Proofpoint’in e-posta koruma hizmetindeki artık düzeltilmiş, zayıf izinleri suistimal ederek, Disney, Nike, IBM ve Coca-Cola gibi büyük kuruluşları taklit eden milyonlarca sahte e-posta göndererek Fortune 100 şirketlerini hedef aldı.
Ocak 2024’te başlayan kampanya, günlük ortalama 3 milyon sahte e-postanın dağıtılmasına neden oldu ve Haziran ayı başında 14 milyon e-postaya ulaşarak zirveye ulaştı.
Kaynak: Guardio Labs
Kimlik avı e-postaları hassas kişisel bilgileri çalmak ve yetkisiz ücretlendirmeler yapmak için tasarlanmıştı. Ayrıca, alıcılara gerçek görünmelerini sağlayan düzgün yapılandırılmış Gönderen Politikası Çerçevesi (SPF) ve Alan Anahtarları Tanımlı Posta (DKIM) imzaları içeriyordu.
Kaynak: Guardio Labs
Guardio Labs, Proofpoint’in e-posta röle sunucularındaki kimlik avı kampanyasını ve güvenlik açığını keşfetmeye yardımcı oldu. Mayıs 2024’te firmaya bildirimde bulundular ve sorunu düzeltmelerine yardımcı oldular.
EchoSpoofing kampanyası
Tehdit aktörleri, kampanyayı yürütmek için kendi SMTP sunucularını kurarak, değiştirilmiş başlıklara sahip sahte e-postalar oluşturdu ve ardından bunları, tehlikeye atılmış veya sahte Microsoft Office 365 hesaplarını kullanarak Proofpoint’in röle sunucuları üzerinden iletti.
Saldırganlar, söz konusu e-postaları göndermek için OVHCloud ve Centrilogic tarafından barındırılan Sanal Özel Sunucuları (VPS) kullandı ve Namecheap aracılığıyla kayıtlı çeşitli alan adlarını kullandı.
Kaynak: Guardio Labs
E-posta güvenlik servisleri tarafından etki alanlarında yapılandırılan son derece izin verici bir SPF kaydı sayesinde tehdit aktörleri SPF kontrollerini geçebilir ve Proofpoint’in sunucuları üzerinden e-posta gönderebilir.
Bir etki alanını Proofpoint’in e-posta ağ geçidini kullanacak şekilde yapılandırırken, şirket, e-postanın iletilmesine izin vermek istediğiniz çeşitli e-posta hizmetlerini seçmenize olanak tanıyan bir yapılandırma seçeneği sunar.
Office 365 seçildiğinde, aşırı izin verici bir SPF kaydı oluşturuluyor ve bu kayıt, herhangi bir Office 365/Microsoft 365 hesabının Proofpoint’in güvenli e-posta hizmeti aracılığıyla e-posta iletmesine olanak sağlıyordu.
include:spf.protection.outlook.com include:spf-00278502.pphosted.com
Varsayılan ayarda, belirli hesaplar veya kiracılar belirtilemez. Bunun yerine, Proofpoint herhangi bir Office 365 IP adresi aralığına güvendi, yani herhangi bir hesap rölesini kullanabilirdi.
DKIM için, bir şirket Proofpoint ile çalıştığında, hizmet üzerinden akan e-postaların düzgün bir şekilde imzalanabilmesi için DKIM özel anahtarlarını platforma yükler.
E-postalar artık hem DKIM hem de SPF kontrollerinden geçtiği için, spam olarak işaretlenmeden gelen kutularına iletilebilmelerine izin verildi.
Guardio Labs, Gmail gibi büyük e-posta platformlarının bu e-postaları gerçek e-postalar olarak ele aldığını ve bunları kişilerin spam klasörüne göndermek yerine gelen kutularına teslim ettiğini açıklıyor.
Kaynak: Guardio Labs
E-postalarda taklit edilen markayla ilgili tuzaklar, hesap son kullanma tarihleri veya yenileme/ödeme onayı talepleri yer alıyordu.
Kaynak: Guardio Labs
Proofpoint güvenliği sıkılaştırıyor
Proofpoint’in koordineli bir raporuna göre şirket, bu kampanyayı Mart ayından beri takip ettiğini söylüyor.
Guardio’nun paylaştığı teknik IOC’ler sayesinde Proofpoint, bu saldırıların etkilerini daha da azaltabildi ve gelecekte bunların nasıl önleneceğine dair yeni ayarlar ve tavsiyeler sunabildi.
Şirket, kullanıcıların sahteciliğe karşı kontrolleri nasıl ekleyebilecekleri ve e-posta güvenliklerini nasıl sıkılaştırabilecekleri konusunda ayrıntılı bir kılavuza sahip; ancak bazı kuruluşlar kötüye kullanımı önlemek için bu manuel eylemlerden hiçbirini gerçekleştirmedi ve bu da EchoSpoofing gibi kampanyaların gerçekleşmesine olanak tanıdı.
Proofpoint, müşterilerine hesaplarının yapılandırmasını güvence altına almalarına yardımcı olmak için izin verici ayarlarla ulaştı.
Şirket, e-posta kaynağını doğrulamaya ve meşru olmayan ve yetkisiz e-postaları filtrelemeye yardımcı olmak için ‘X-OriginatorOrg’ başlığını tanıttı.
Ayrıca, yeni bir Microsoft 365 katılım yapılandırma ekranı müşterilerin Microsoft 365 bağlayıcılarında daha kısıtlayıcı izinler yapılandırmasına olanak tanır. Bu izinler, Proofpoint sunucuları üzerinden iletilebilen Microsoft 365 kiracılarını belirtir.
.jpg)
Kaynak: Guardio Labs
Son olarak Proofpoint, etkilenen müşterilerine kimlik avı saldırganlarının büyük çaplı bir operasyonla markalarını kötüye kullandığını bildirdi.
Microsoft’a da Microsoft 365’in kötüye kullanımı bildirilmiş olmasına rağmen, söz konusu hesaplar aktif kalmaya devam ediyor; bazıları yedi aydan uzun süredir aktif.
