ผู้คุกคามได้ใช้ประโยชน์จากบริการป้องกันอีเมลของ Proofpoint เพื่อส่งอีเมลฟิชชิงที่ปลอมแปลงจำนวนมหาศาล
ผู้คุกคามได้ใช้ประโยชน์จากปัญหาในบริการป้องกันอีเมลของ Proofpoint เพื่อปลอมแปลงแบรนด์ที่มีชื่อเสียงเป็นส่วนหนึ่งของแคมเปญฟิชชิงที่กว้างขวาง ตามรายงานจาก Guardio Labs
ในแคมเปญนี้ ผู้โจมตีสามารถส่งข้อความฟิชชิงนับล้านฉบับต่อวันและหลบเลี่ยงการป้องกันความปลอดภัยของอีเมลโดยใช้ประโยชน์จากปัญหาการตั้งค่าที่ไม่ถูกต้อง ซึ่งทำให้เกิดสิทธิ์ที่มากเกินไป ส่งผลให้การใช้บริการของ Proofpoint ถูกใช้เพื่อเพิ่มความน่าเชื่อถือให้กับข้อความฟิชชิงเหล่านั้น
การโจมตีนี้เรียกว่า EchoSpoofing ช่องโหว่นี้อนุญาตให้ผู้โจมตีส่งข้อความฟิชชิงผ่าน Microsoft Exchange และบริการของ Proofpoint เพื่อให้อีเมลเหล่านั้นถูกลงนามและรับรองความถูกต้องอย่างถูกต้อง
“เมื่อเราวิเคราะห์เส้นทางที่อีเมลเหล่านั้นใช้เพื่อเข้าถึงกล่องจดหมายของเหยื่อ เราพบว่าทั้งหมดมีลักษณะเดียวกัน — เริ่มต้นจากเซิร์ฟเวอร์ SMTP ง่าย ๆ บนเซิร์ฟเวอร์เสมือน ผ่านเซิร์ฟเวอร์ Office365 Online Exchange และเข้าสู่เซิร์ฟเวอร์ Proofpoint ที่ส่งอีเมลไปยังเป้าหมาย” Guardio อธิบาย
Proofpoint ให้ลูกค้าสามารถผนวกบริการความปลอดภัยของอีเมลได้อย่างง่ายดาย โดยเพียงแค่ชี้อีเมลของตนไปยังเซิร์ฟเวอร์ของ Proofpoint จากนั้นบริการจะทำหน้าที่เป็นไฟร์วอลล์ ส่งต่ออีเมลไปยังผู้รับปลายทาง
เซิร์ฟเวอร์ส่งออกของ Proofpoint (pphosted.com) ยังดูแลการตรวจสอบและลงนาม SPF (Sender Policy Framework) และ DKIM (DomainKeys Identified Mail) โดยลูกค้าจะต้องกำหนดค่าและอนุญาตให้ Proofpoint ส่งอีเมลที่ผ่านการรับรองความถูกต้องในนามของพวกเขา
การวิเคราะห์อีเมลฟิชชิงพบว่าอีเมลเหล่านั้นถูกสร้างโดยบัญชี Office365 ที่ควบคุมโดยผู้โจมตี ส่งผ่านเซิร์ฟเวอร์ Exchange และส่งต่อผ่าน Proofpoint relay ซึ่งรับรองและลงนามอีเมลเหล่านั้น
เนื่องจากการทำงานของโปรโตคอล SMTP ไม่มีการใช้การรับรองความถูกต้องในการเพิ่มบริการอีเมลที่ได้รับอนุมัติ เนื่องจากทำผ่านที่อยู่ IP เท่านั้น และ Proofpoint ได้รับรายการที่อยู่ IP ที่เชื่อมโยงกับบริการอีเมลที่รู้จัก เช่น Office365
อย่างไรก็ตาม หากลูกค้ากำหนดค่าบัญชี Office365 ทั่วไป บัญชี Office365 ใด ๆ ก็สามารถโต้ตอบกับเซิร์ฟเวอร์ Proofpoint relay ได้ และเนื่องจาก Exchange ถูกกำหนดค่าให้ส่งต่ออีเมลโดยไม่เปลี่ยนแปลง ผู้โจมตีจึงใช้ประโยชน์จากการตั้งค่าที่มีสิทธิ์มากเกินไปนี้เพื่อสร้างอีเมลปลอมที่เซิร์ฟเวอร์ของ Proofpoint จะยอมรับและประมวลผล
“จาก Proofpoint มันถูก ‘สะท้อน’ กลับมาและส่งต่อเป็นอีเมลที่แท้จริง รวมถึงการตรวจสอบ DKIM และ SPF ที่สอดคล้องกับชื่อโดเมนจริง” Guardio กล่าว
สำหรับการโจมตีให้สำเร็จ ผู้โจมตียังต้องมีรหัสเฉพาะสำหรับแบรนด์ที่ถูกปลอมแปลง ซึ่งจะถูกดึงมาจากบันทึก MX ขององค์กร ที่สามารถเข้าถึงได้สาธารณะภายใต้โปรโตคอล DNS
“จากนั้นผู้โจมตีจะกลับไปที่เซิร์ฟเวอร์ Exchange ออนไลน์ที่พวกเขาควบคุมและตั้งค่าเป็นผู้ใช้ Proofpoint โดยเพิ่มตัวเชื่อมต่อไปยังเซิร์ฟเวอร์ Exchange Online ของคุณสำหรับอีเมลที่ส่งออก ชี้ไปที่เซิร์ฟเวอร์ pphosted.com ตอนนี้ ด้วยการตั้งค่าส่งต่อที่มองไม่เห็น ผู้โจมตีมีโซ่ส่งต่อทั้งหมดสำหรับอีเมลปลอมที่สมบูรณ์แบบ” Guardio กล่าว
การใช้ประโยชน์จาก EchoSpoofing เริ่มขึ้นราวเดือนมกราคม 2024 โดยมีการส่งอีเมลฟิชชิงประมาณสามล้านฉบับต่อวัน โดยมีจุดสูงสุดที่สังเกตเห็นได้ถึง 14 ล้านฉบับ แคมเปญนี้ปลอมแปลงแบรนด์ เช่น Disney, BestBuy, Coca-Cola, IBM และ Nike เพื่อขโมยเงินและข้อมูลบัตรเครดิตของเหยื่อ
Proofpoint ซึ่งทราบถึงการใช้งานที่ผิดวัตถุประสงค์ตั้งแต่เดือนมีนาคม ได้รับแจ้งในเดือนพฤษภาคม และได้มีความพยายามอย่างกว้างขวางในการแจ้งเตือนลูกค้าเกี่ยวกับการตั้งค่าที่ไม่ถูกต้อง อย่างไรก็ตาม บัญชี Office365 ที่ถูกโจมตีหลายบัญชียังคงไม่ได้รับการแก้ไข
นอกจากนี้ เนื่องจากแคมเปญนี้ใช้ประโยชน์จากการผสานรวม Office365 ที่เปิดเผย Proofpoint ได้ปรับใช้การบรรเทาผลกระทบโดยใช้ส่วนหัวเฉพาะของผู้จำหน่ายสำหรับ Exchange เพื่อเพิ่มอัตโนมัติในอีเมลขาออก ซึ่งมีชื่อบัญชี Office365
Proofpoint ยังปรับใช้อัปเดตเพื่อแจ้งเตือนลูกค้าเกี่ยวกับความเสี่ยงที่อาจเกิดขึ้นจากการตั้งค่าที่มีสิทธิ์มากเกินไปและอนุญาตให้พวกเขา “อนุมัติผู้เช่าและตรวจสอบสัญญาณการใช้งานในทางที่ผิดได้อย่างง่ายดาย”
Proofpoint คือบริษัทด้านความปลอดภัยทางไซเบอร์ที่เชี่ยวชาญในการป้องกันภัยคุกคามทางอีเมล ความปลอดภัยของข้อมูล และการป้องกันภัยคุกคามขั้นสูง บริษัทก่อตั้งขึ้นในปี 2002 และมีสำนักงานใหญ่ตั้งอยู่ที่ Sunnyvale, California
บริการของ Proofpoint ประกอบด้วย:
- Email Security: ป้องกันอีเมลฟิชชิง มัลแวร์ สแปม และการโจมตีทางอีเมลอื่นๆ
- Advanced Threat Protection: ใช้เทคโนโลยีในการตรวจจับและป้องกันภัยคุกคามขั้นสูง เช่น การโจมตีแบบ zero-day และ ransomware
- Information Protection: ป้องกันการสูญหายของข้อมูล (Data Loss Prevention – DLP) และการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต
- Security Awareness Training: ฝึกอบรมพนักงานให้รู้จักและสามารถรับมือกับภัยคุกคามทางไซเบอร์ได้
- Cloud Security: ปกป้องข้อมูลและการใช้งานในคลาวด์ เช่น Office 365 และ G Suite
Proofpoint มีการใช้เทคโนโลยี Machine Learning และ AI ในการตรวจจับและป้องกันภัยคุกคาม รวมถึงการให้บริการที่ครอบคลุมในด้านการตรวจสอบและตอบสนองต่อเหตุการณ์ทางไซเบอร์ (Incident Response) เพื่อให้ลูกค้าสามารถรับมือกับการโจมตีได้อย่างมีประสิทธิภาพ
Credit: chatgpt.com
—————————————————————————————————————————
credit: securityweek.com
