Un acteur de menace inconnu a été lié à une campagne d’escroquerie massive qui a exploité une mauvaise configuration de routage des e-mails dans les défenses du fournisseur de sécurité de messagerie Proofpoint pour envoyer des millions de messages usurpant l’identité de diverses sociétés populaires comme Best Buy, IBM, Nike et Walt Disney, entre autres.
« Ces e-mails provenaient de relais de messagerie officiels de Proofpoint avec des signatures SPF et DKIM authentifiées, contournant ainsi les principales protections de sécurité – tout cela pour tromper les destinataires et voler des fonds et des informations de carte de crédit », a déclaré Nati Tal, chercheuse chez Guardio Labs. dit dans un rapport détaillé partagé avec The Hacker News.
La société de cybersécurité a donné à la campagne le nom Usurpation d’échoL’activité aurait commencé en janvier 2024, l’acteur malveillant exploitant la faille pour envoyer jusqu’à trois millions d’e-mails par jour en moyenne, un nombre qui a atteint un pic de 14 millions début juin lorsque Proofpoint a commencé à mettre en place des contre-mesures.
« La partie la plus unique et la plus puissante de ce domaine est la méthode d’usurpation d’identité, qui ne laisse pratiquement aucune chance de réaliser qu’il ne s’agit pas d’un véritable e-mail envoyé par ces entreprises », a déclaré Tal à la publication.
« Ce concept d’EchoSpoofing est vraiment puissant. C’est assez étrange qu’il soit utilisé pour des campagnes de phishing à grande échelle comme celle-ci au lieu d’une campagne de spear-phishing de type boutique, où un attaquant peut rapidement prendre l’identité de n’importe quel membre réel de l’équipe de l’entreprise et envoyer des e-mails à d’autres collègues. Finalement, grâce à une ingénierie sociale de haute qualité, il peut accéder aux données internes ou aux identifiants et même compromettre l’ensemble de l’entreprise.
La technique, qui implique que l’acteur de la menace envoie les messages depuis un serveur SMTP sur un serveur privé virtuel (VPS), est remarquable par le fait qu’elle est conforme aux mesures d’authentification et de sécurité tels que SPF et DKIM, qui sont respectivement les abréviations de Sender Policy Framework et DomainKeys Identified Mail, et font référence à des méthodes d’authentification conçues pour empêcher les attaquants d’imiter un domaine légitime.
Tout cela se résume au fait que ces messages sont acheminés à partir de divers locataires Microsoft 365 contrôlés par des adversaires, qui sont ensuite relayés via les infrastructures de messagerie des clients d’entreprise de Proofpoint pour atteindre les utilisateurs de fournisseurs de messagerie gratuits tels que Yahoo!, Gmail et GMX.
Il s’agit du résultat de ce que Guardio a décrit comme une « faille de configuration super-permissive » dans les serveurs Proofpoint (« pphosted.com ») qui permettait essentiellement aux spammeurs de profiter de l’infrastructure de messagerie pour envoyer les messages.
« La cause principale est une fonctionnalité de configuration de routage de courrier électronique modifiable sur les serveurs Proofpoint pour permettre le relais des messages sortants des organisations à partir des locataires Microsoft 365, mais sans spécifier quels locataires M365 autoriser », a déclaré Proofpoint. dit dans un rapport de divulgation coordonné partagé avec The Hacker News.
« Toute infrastructure de messagerie qui offre cette fonctionnalité de configuration de routage de courrier électronique peut être utilisée de manière abusive par les spammeurs. »
En d’autres termes, un attaquant peut exploiter cette faille pour configurer des locataires Microsoft 365 malveillants et transmettre des messages électroniques falsifiés aux serveurs relais de Proofpoint, d’où ils sont « renvoyés » sous forme de véritables missives numériques se faisant passer pour les domaines des clients.
Cela est réalisé en configurant le connecteur de courrier électronique sortant du serveur Exchange directement sur le point de terminaison vulnérable pphosted.com associé au client. En outre, une version piratée d’un logiciel de distribution de courrier électronique légitime appelé PowerMTA est utilisé pour envoyer les messages.
« Le spammeur a utilisé une série tournante de serveurs privés virtuels (VPS) loués auprès de plusieurs fournisseurs, utilisant de nombreuses adresses IP différentes pour lancer des rafales rapides de milliers de messages à la fois à partir de leurs serveurs SMTP, envoyés à Microsoft 365 pour être relayés vers les serveurs clients hébergés par Proofpoint », a déclaré Proofpoint.
« Microsoft 365 a accepté ces messages falsifiés et les a envoyés aux infrastructures de messagerie de ces clients pour être relayés. Lorsque les domaines des clients ont été falsifiés lors du relais via l’infrastructure de messagerie du client correspondant, la signature DKIM a également été appliquée lorsque les messages ont transité par l’infrastructure Proofpoint, ce qui a rendu les messages de spam plus faciles à distribuer. »
On soupçonne que l’EchoSpoofing a été intentionnellement choisi par les opérateurs comme moyen de générer des revenus illégaux et d’éviter le risque d’exposition pendant de longues périodes, car cibler directement les entreprises via ce modus operandi aurait pu augmenter considérablement les chances d’être détecté, mettant ainsi en péril l’ensemble du système.
Cela étant dit, on ne sait pas encore clairement qui se cache derrière cette campagne. Proofpoint a déclaré que cette activité ne recoupait aucun groupe ou acteur connu de la menace.
« En mars, les chercheurs de Proofpoint ont identifié des campagnes de spam relayées par un petit nombre d’infrastructures de messagerie de clients de Proofpoint en envoyant du spam depuis des locataires Microsoft 365 », a indiqué l’entreprise dans un communiqué. « Toutes les analyses indiquent que cette activité a été menée par un acteur de spam, dont nous n’attribuons pas l’activité à une entité connue. »
« Depuis la découverte de cette campagne de spam, nous avons travaillé avec diligence pour fournir des instructions correctives, notamment la mise en œuvre d’une interface administrative simplifiée permettant aux clients de spécifier quels locataires M365 sont autorisés à relayer, tous les autres locataires M365 étant refusés par défaut. »
Proofpoint a souligné qu’aucune donnée client n’avait été divulguée et qu’aucun d’entre eux n’avait subi de perte de données à la suite de ces campagnes. L’entreprise a également indiqué qu’elle avait contacté directement certains de ses clients pour modifier leurs paramètres afin de mettre fin à l’efficacité de l’activité de spam par relais sortant.
« Lorsque nous avons commencé à bloquer l’activité du spammeur, celui-ci a accéléré ses tests et s’est rapidement tourné vers d’autres clients », a souligné la société. « Nous avons mis en place un processus continu d’identification des clients concernés chaque jour, en réorganisant les priorités de sensibilisation pour corriger les configurations. »
Pour réduire le spam, l’organisation exhorte les fournisseurs de VPS à limiter la capacité de leurs utilisateurs à envoyer de gros volumes de messages à partir de serveurs SMTP hébergés sur leur infrastructure. Elle appelle également les fournisseurs de services de messagerie à restreindre les capacités des locataires non vérifiés nouvellement créés et en essai gratuit à envoyer des messages sortants en masse, ainsi qu’à les empêcher d’envoyer des messages usurpant un domaine dont ils n’ont pas prouvé la propriété.
« Pour les RSSI, le principal enseignement à tirer de cette situation est de veiller particulièrement à la posture cloud de leur organisation, notamment en ce qui concerne l’utilisation de services tiers qui deviennent l’épine dorsale des méthodes de réseau et de communication de votre entreprise », a déclaré Tal. « En particulier dans le domaine des e-mails, maintenez toujours une boucle de rétroaction et un contrôle de votre propre chef, même si vous faites entièrement confiance à votre fournisseur de messagerie. »
« Quant aux autres entreprises qui fournissent ce type de services de base, tout comme Proofpoint, elles doivent être vigilantes et proactives en réfléchissant à tous les types de menaces possibles en premier lieu. Non seulement aux menaces qui affectent directement leurs clients, mais également au grand public.
« C’est crucial pour notre sécurité à tous, et les entreprises qui créent et exploitent l’épine dorsale d’Internet, même si elles sont privées, en ont la plus grande responsabilité. Comme quelqu’un l’a dit, dans un contexte totalement différent mais tout à fait pertinent ici : « De grands pouvoirs impliquent de grandes responsabilités ». »