Proofpoint 电子邮件路由漏洞被利用，发送数百万封网络钓鱼电子邮件

一名未知黑客组织涉嫌参与一场大规模诈骗活动，该活动利用电子邮件安全供应商 Proofpoint 防御系统中的电子邮件路由配置错误漏洞，发送数百万条冒充百思买、IBM、耐克、华特迪士尼等多家知名公司的邮件。

滥用 Proofpoint 基础设施，以客户名义完美伪造电子邮件

Guardio Labs 研究员 Nati Tal在一份报告（https://labs.guard.io/echospoofing-a-massive-phishing-campaign-exploiting-proofpoints-email-protection-to-dispatch-3dd6b5417db6）中表示：“这些电子邮件通过安全验证的SPF 和 DKIM 签名从官方 Proofpoint 电子邮件中继中发出，从而绕过了主要的安全保护措施 —— 所有这些都是为了欺骗收件人并窃取资金和信用卡详细信息。”

Guardio Labs将此次活动命名为EchoSpoofing。据信该活动始于 2024 年 1 月，攻击者利用该漏洞平均每天发送多达 300 万封电子邮件，当 Proofpoint 开始采取对策时，这一数字在 6 月初达到 1400 万封的峰值。

Guardio Labs 研究员称：“这个域名最独特和最强大的部分是欺骗方法——几乎没有机会意识到这不是由这些公司发送的真正电子邮件。”

带有经过身份验证的发件人和恶意内容的伪造 Disney.com 电子邮件示例

“EchoSpoofing 非常强大。奇怪的是，它被用于这种大规模网络钓鱼，而不是精品鱼叉式网络钓鱼活动——攻击者可以迅速窃取任何真实公司团队成员的身份并向其他同事发送电子邮件——最终通过高质量的社会工程，获取内部数据或凭证，甚至危及整个公司。

该技术涉及攻击者从虚拟专用服务器 (VPS) 上的 SMTP 服务器发送消息，值得注意的是，它符合SPF 和 DKIM 等身份验证和安全措施，它们分别是发件人策略框架和域名密钥识别邮件的缩写，是指旨在防止攻击者模仿合法域的身份验证方法。

这一切都归结为这样一个事实：这些邮件是从 Microsoft 365 租户路由的，然后通过 Proofpoint 企业客户的电子邮件基础设施进行中继，以到达 Yahoo!、Gmail 和 GMX 等免费电子邮件提供商的用户。

这就是 Guardio 所说的 Proofpoint 服务器（“pphosted.com”）中“超级宽容的错误配置缺陷”造成的结果，它实际上允许垃圾邮件发送者利用电子邮件基础设施来发送邮件。

转发中继配置允许伪造的标头流经 Exchange 服务器

Proofpoint在一份报告（https://www.proofpoint.com/us/blog/threat-insight/scammer-abuses-microsoft-365-tenants-relaying-through-proofpoint-servers-deliver）中表示：“根本原因是 Proofpoint 服务器上可修改的电子邮件路由配置功能，允许中继组织从 Microsoft 365 租户发出的出站消息，但没有指定允许哪些 M365 租户。”

“任何提供此电子邮件路由配置功能的电子邮件基础设施都可能被垃圾邮件发送者滥用。”

换句话说，攻击者可以利用该漏洞设置恶意 Microsoft 365 租户，并将伪造的电子邮件消息发送到 Proofpoint 中继服务器，然后这些电子邮件会被“回送”，成为冒充客户域的真实数字信件。

而这又通过将 Exchange Server 的外发电子邮件连接器直接配置到与客户关联的易受攻击的“pphosted.com”端点来实现。此外，破解版的合法电子邮件传递软件PowerMTA也用于发送邮件。

Proofpoint 表示：“垃圾邮件发送者使用来自多家提供商的一系列轮流租用的虚拟专用服务器 (VPS)，使用许多不同的 IP 地址从其 SMTP 服务器一次性快速发送数千条邮件，发送到 Microsoft 365，然后中继到 Proofpoint 托管的客户服务器。”

“Microsoft 365 接受了这些欺骗性消息，并将其发送到这些客户的电子邮件基础设施进行中继。当客户域在通过匹配客户的电子邮件基础设施中继时被欺骗时，DKIM 签名也会在邮件通过 Proofpoint 基础设施传输时应用，从而使垃圾邮件更容易被传递。”

针对迪士尼 Proofpoint 电子邮件中继服务器的侧信道攻击

人们怀疑，EchoSpoofing 是垃圾邮件运营商故意选择的，作为一种获取非法收入以及避免长期暴露风险的方式，因为通过这种运作方式直接针对公司可能会大大增加被发现的机会，从而有效地危及整个计划。

目前尚不清楚谁是该活动的幕后黑手。Proofpoint 表示，该活动与任何已知的黑客组织均无重叠。

该公司在一份声明中表示：“今年 3 月，Proofpoint 研究人员发现，垃圾邮件活动通过少数 Proofpoint 客户的电子邮件基础设施进行，通过 Microsoft 365 租户发送垃圾邮件。”“所有分析都表明，这一活动是由一名垃圾邮件参与者进行的，我们并未将其活动归咎于任何已知实体。”

“EchoSpoofing” 操作活动——每天大约发送的欺骗电子邮件数量

“自发现此垃圾邮件活动以来，我们一直在努力提供纠正说明，包括为客户实施简化的管理界面，以指定允许哪些 M365 租户中继，所有其他 M365 租户默认被拒绝。”

Proofpoint 强调，这些活动并未导致任何客户数据泄露，也未造成任何数据丢失。该公司进一步指出，已直接联系部分客户，要求他们更改设置，以阻止出站中继垃圾邮件活动的有效性。

“当我们开始阻止垃圾邮件发送者的活动时，垃圾邮件发送者加快了测试速度，并迅速转向其他客户。”该公司指出。“我们建立了一个持续的流程，每天识别受影响的客户，重新确定优先顺序以修复配置。”

为了减少垃圾邮件，它敦促 VPS 提供商限制其用户从其基础设施上托管的 SMTP 服务器发送大量邮件的能力。它还呼吁电子邮件服务提供商限制免费试用和新创建的未经验证租户发送批量出站电子邮件的能力，并阻止攻击者发送伪造过的他们没有所有权的域名的邮件。

Tal 表示：“对于 CISO 来说，主要要点是要格外注意其组织的云态势，特别是在使用第三方服务时，这些服务将成为公司网络和通信方法的支柱。特别是在电子邮件领域，始终保持反馈循环和自我控制，即使您完全信任您的电子邮件提供商。”

“至于其他提供此类骨干服务的公司，就像 Proofpoint 一样，他们必须保持警惕，积极主动地首先考虑所有可能出现的威胁。不仅是直接影响客户的威胁，还有更广泛的公众。

“这对我们所有人的安全都至关重要，而创建和运营互联网骨干的公司，即使是私营公司，也对此负有最高责任。就像有人说的那样，虽然语境完全不同，但在这里却如此贴切：‘能力越大，责任越大。’”

技术报告：

https://labs.guard.io/echospoofing-a-massive-phishing-campaign-exploiting-proofpoints-email-protection-to-dispatch-3dd6b5417db6

https://www.proofpoint.com/us/blog/threat-insight/scammer-abuses-microsoft-365-tenants-relaying-through-proofpoint-servers-deliver

参考链接：

https://thehackernews.com/2024/07/proofpoint-email-routing-flaw-exploited.html

讲述普通人能听懂的安全故事