Siber Muhbir

Guardio Labs araştırmacısı Nati Tal, paylaşılan ayrıntılı bir raporda, "Bu e-postalar, kimliği doğrulanmış SPF ve DKIM imzalarına sahip resmi Proofpoint e-posta rölelerinden yankılandı ve böylece büyük güvenlik korumalarını atladı - hepsi alıcıları aldatmak ve fonları ve kredi kartı bilgilerini çalmak için" dedi.

Siber güvenlik şirketi kampanyaya EchoSpoofing adını verdi. Faaliyetin Ocak 2024'te başladığına inanılıyor ve tehdit aktörü, günde ortalama üç milyon e-posta göndermek için boşluktan yararlanıyor ve bu sayı, Proofpoint'in karşı önlemler almaya başlamasıyla Haziran ayı başlarında 14 milyona ulaşan bir sayı.

Tal yayına verdiği demeçte, "Bu alanın en benzersiz ve güçlü kısmı, sahtekarlık yöntemidir - bunun bu şirketlerden gönderilen gerçek bir e-posta olmadığını anlamak için neredeyse hiç şans bırakmaz" dedi.

"Bu EchoSpoofing konsepti gerçekten çok güçlü. Bir saldırganın herhangi bir gerçek şirket ekip üyesinin kimliğini hızla alıp diğer iş arkadaşlarına e-posta gönderebildiği butik bir hedefli kimlik avı kampanyası yerine bunun gibi büyük ölçekli kimlik avı için kullanılması biraz garip.

Tehdit aktörünün iletileri bir SMTP sunucusundan sanal özel sunucuda (VPS) göndermesini içeren teknik, sırasıyla Sender Policy Framework ve DomainKeys Identified Mail'in kısaltması olan SPF ve DKIM gibi kimlik doğrulama ve güvenlik önlemlerine uyması ve saldırganların meşru bir alan adını taklit etmesini önlemek için tasarlanmış kimlik doğrulama yöntemlerine atıfta bulunması ile dikkat çekiyor.

Her şey, bu iletilerin düşman tarafından kontrol edilen çeşitli Microsoft 365 kiracılarından yönlendirildiği ve daha sonra Yahoo!, Gmail ve GMX gibi ücretsiz e-posta sağlayıcılarının kullanıcılarına ulaşmak için Proofpoint kurumsal müşterilerinin e-posta altyapıları aracılığıyla iletildiği gerçeğine kadar uzanıyor.

Bu, Guardio'nun Proofpoint sunucularında ("pphosted.com") "süper müsamahakar bir yanlış yapılandırma kusuru" olarak tanımladığı ve spam gönderenlerin mesajları göndermek için e-posta altyapısından yararlanmasına izin veren şeyin sonucudur.

Proofpoint, paylaşılan koordineli bir açıklama raporunda, "Kök neden, kuruluşların Microsoft 365 kiracılarından giden mesajlarının geçişine izin vermek, ancak hangi M365 kiracılarına izin verileceğini belirtmeden Proofpoint sunucularında değiştirilebilir bir e-posta yönlendirme yapılandırma özelliğidir" dedi.

"Bu e-posta yönlendirme yapılandırma özelliğini sunan herhangi bir e-posta altyapısı, spam gönderenler tarafından kötüye kullanılabilir."

Başka bir deyişle, bir saldırgan, sahte Microsoft 365 kiracıları kurmak ve sahte e-posta iletilerini Proofpoint'in aktarma sunucularına teslim etmek için eksikliği silah haline getirebilir ve buradan müşterilerin etki alanlarını taklit eden gerçek dijital füzeler olarak "geri yankılanır".

Bu da, Exchange Server'ın giden e-posta bağlayıcısını doğrudan müşteriyle ilişkili güvenlik açığı bulunan "pphosted.com" uç noktasına (DNS MX kayıtları aracılığıyla genel kullanıma açık bilgiler) yapılandırarak gerçekleştirilir. Ayrıca, mesajları göndermek için PowerMTA adlı meşru bir e-posta dağıtım yazılımının kırık bir sürümü kullanılır.

Proofpoint, "İstenmeyen posta gönderici, SMTP sunucularından bir seferde binlerce iletinin hızlı bir şekilde gönderilmesini başlatmak için birçok farklı IP adresi kullanarak, Proofpoint tarafından barındırılan müşteri sunucularına iletilmek üzere Microsoft 365'e gönderilen, çeşitli sağlayıcılardan dönen bir dizi kiralık sanal özel sunucu (VPS) kullandı" dedi.

"Microsoft 365 bu sahte mesajları kabul etti ve geçirilmek üzere bu müşterilerin e-posta altyapılarına gönderdi. Müşteri alan adları, eşleşen müşterinin e-posta altyapısı üzerinden aktarılırken sahteciliğe maruz kaldığında, iletiler Proofpoint altyapısından geçerken DKIM imzalama da uygulandı ve spam iletileri daha teslim edilebilir hale geldi."

EchoSpoofing'in operatörler tarafından yasa dışı gelir elde etmenin yanı sıra uzun süre maruz kalma riskinden kaçınmanın bir yolu olarak kasıtlı olarak seçildiğinden şüpheleniliyor, çünkü bu çalışma şekli aracılığıyla şirketleri doğrudan hedef almak, tespit edilme şansını büyük ölçüde artırabilir ve tüm planı etkili bir şekilde tehlikeye atabilirdi.

Bununla birlikte, şu anda kampanyanın arkasında kimin olduğu belli değil. Proofpoint, faaliyetin bilinen herhangi bir tehdit aktörü veya grubuyla örtüşmediğini söyledi.

Açıklamada, "Mart ayında Proofpoint araştırmacıları, Microsoft 365 kiracılarından spam göndererek az sayıda Proofpoint müşterisinin e-posta altyapısı aracılığıyla spam kampanyalarının iletildiğini tespit etti" denildi. "Tüm analizler, bu etkinliğin, etkinliğini bilinen bir varlığa atfetmediğimiz bir spam aktörü tarafından gerçekleştirildiğini gösteriyor."

"Bu spam kampanyasını keşfettiğimizden beri, müşterilerin hangi M365 kiracılarının geçiş yapmasına izin verildiğini ve diğer tüm M365 kiracılarının varsayılan olarak reddedildiğini belirtmeleri için kolaylaştırılmış bir yönetim arayüzü uygulamak da dahil olmak üzere düzeltici talimatlar sağlamak için özenle çalıştık."

Proofpoint, bu kampanyaların bir sonucu olarak hiçbir müşteri verisinin açığa çıkmadığını ve hiçbirinin veri kaybı yaşamadığını vurguladı. Ayrıca, giden geçiş spam etkinliğinin etkinliğini durdurmak için ayarlarını değiştirmek için bazı müşterilerine doğrudan ulaştığını belirtti.

Şirket, "İstenmeyen posta gönderenin etkinliğini engellemeye başladığımızda, istenmeyen posta gönderen testini hızlandırdı ve hızla diğer müşterilere geçti" dedi. "Her gün etkilenen müşterileri belirlemek için sürekli bir süreç oluşturduk ve yapılandırmaları düzeltmek için sosyal yardımları yeniden önceliklendirdik."

İstenmeyen postaları azaltmak için, VPS sağlayıcılarını, kullanıcılarının altyapılarında barındırılan SMTP sunucularından büyük hacimli iletiler gönderme yeteneklerini sınırlamaya çağırıyor. Ayrıca, e-posta hizmeti sağlayıcılarını, ücretsiz denemenin yeteneklerini kısıtlamaya ve yeni oluşturulan doğrulanmamış kiracılara toplu giden e-posta iletileri göndermenin yanı sıra, sahipliklerinin kanıtlanmamış bir etki alanını taklit eden iletiler göndermelerini engellemeye çağırıyor.

Tal, "CISO'lar için buradaki ana çıkarım, özellikle şirketinizin ağ oluşturma ve iletişim yöntemlerinin bel kemiği haline gelen 3. taraf hizmetlerinin kullanımıyla, kuruluşlarının bulut duruşuna ekstra özen göstermektir" dedi. "Özellikle e-postalar alanında, e-posta sağlayıcınıza tamamen güvenseniz bile, her zaman bir geri bildirim döngüsü ve kendi kontrolünüzü koruyun."

"Ve bu tür omurga hizmetleri sağlayan diğer şirketlere gelince - tıpkı Proofpoint'in yaptığı gibi, ilk etapta tüm olası tehdit türlerini düşünürken uyanık ve proaktif olmalılar. Sadece müşterilerini doğrudan etkileyen tehditler değil, aynı zamanda daha geniş bir kitleyi de etkiliyor.

"Bu, hepimizin güvenliği için çok önemlidir ve internetin omurgasını oluşturan ve işleten şirketler, özel olarak tutulsa bile, bu konuda en yüksek sorumluluğa sahiptir. Tıpkı birinin dediği gibi, tamamen farklı bir bağlamda, ancak burada çok önemli olan: 'Büyük güçler, büyük sorumlulukları da beraberinde getirir.'"

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.