信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“GoUpSec”。

近日，Guardio Labs發(fā)現(xiàn)并披露了一場(chǎng)名為“EchoSpoofing”的大規(guī)模網(wǎng)絡(luò)釣魚活動(dòng)。該活動(dòng)利用Proofpoint電子郵件保護(hù)服務(wù)中已修復(fù)的弱權(quán)限漏洞，向包括迪士尼、耐克、IBM和可口可樂(lè)等大公司在內(nèi)的目標(biāo)發(fā)送了數(shù)百萬(wàn)封偽造郵件，主要針對(duì)財(cái)富100強(qiáng)企業(yè)。

Proofpoint每天“助攻”300萬(wàn)封釣魚郵件

“EchoSpoofing”從2024年1月開(kāi)始，平均每天發(fā)送約300萬(wàn)封偽造郵件，6月初達(dá)到1400萬(wàn)封的峰值。這些釣魚郵件設(shè)計(jì)精巧，旨在竊取敏感個(gè)人信息并進(jìn)行未經(jīng)授權(quán)的收費(fèi)。郵件中包含正確配置的發(fā)件人策略框架（SPF）和域名密鑰識(shí)別郵件（DKIM）簽名，使其看起來(lái)具有極高的真實(shí)性。

EchoSpoofing的攻擊基礎(chǔ)設(shè)施來(lái)源：Guardio Labs

攻擊者利用虛擬專用服務(wù)器（VPS），通過(guò)OVHCloud和Centrilogic托管服務(wù)器發(fā)送這些郵件，使用通過(guò)Namecheap注冊(cè)的多個(gè)域名進(jìn)行操作。他們?cè)O(shè)置了自己的SMTP服務(wù)器，通過(guò)Proofpoint的中繼服務(wù)器轉(zhuǎn)發(fā)郵件，這些服務(wù)器使用了被攻陷或偽造的Microsoft Office 365賬戶。

郵件安全服務(wù)的漏洞與利用

由于Proofpoint的電子郵件安全服務(wù)在配置SPF記錄時(shí)過(guò)于寬松，導(dǎo)致攻擊者能夠通過(guò)其服務(wù)器發(fā)送偽造郵件。默認(rèn)情況下，Proofpoint允許所有Office 365 IP地址范圍的賬戶使用其中繼服務(wù)，而不是特定賬戶或租戶。此外，Proofpoint系統(tǒng)上傳了公司的DKIM私鑰，使得通過(guò)該服務(wù)的郵件可以正確簽名。這種配置導(dǎo)致郵件能夠通過(guò)SPF和DKIM檢查，直接送達(dá)收件人的收件箱，而非垃圾郵件文件夾。

釣魚攻擊示意圖來(lái)源：Guardio Labs

緩解措施

Proofpoint在Guardio提供的技術(shù)指標(biāo)的幫助下，自3月以來(lái)一直在監(jiān)控并緩解這些攻擊。公司發(fā)布了新的安全設(shè)置建議，包括引入“X-OriginatorOrg”郵件頭來(lái)驗(yàn)證郵件來(lái)源，并過(guò)濾掉非合法郵件。此外，新的Microsoft 365配置屏幕允許客戶為Microsoft 365連接器設(shè)置更嚴(yán)格的權(quán)限，以指定哪些租戶可以通過(guò)Proofpoint的服務(wù)器中繼。

Proofpoint也聯(lián)系了受影響的客戶，協(xié)助他們加強(qiáng)賬戶配置的安全性，防止類似的攻擊再次發(fā)生。雖然Proofpoint已采取措施加強(qiáng)安全性，但部分受影響的Microsoft 365賬戶在過(guò)去七個(gè)月內(nèi)仍然活躍，微軟也已收到相關(guān)通知。

此次事件再次提醒各大企業(yè)在使用云服務(wù)和第三方安全服務(wù)時(shí)，需要嚴(yán)格配置和檢查安全設(shè)置，以防范網(wǎng)絡(luò)釣魚等安全威脅。