黑客利用了Salesforce电子邮件服务和SMTP服务器中的一个 0day 漏洞,发起了一场针对高价值Facebook账户的精密钓鱼攻击。
攻击者利用一个被称为“PhishForce”的漏洞,绕过了Salesforce的发件人验证保护措施,以及Facebook网络游戏平台中的一些特殊性,大量发送钓鱼邮件。
使用像Salesforce这样有信誉的电子邮件网关来分发钓鱼邮件的好处在于,它能避开安全的电子邮件网关和过滤规则,确保恶意邮件能够成功到达目标收件箱。
这次攻击活动是由Guardio Labs的分析师Oleg Zaytsev和Nati Tal首次发现的,他们向Salesforce报告了这一未知的漏洞,并协助他们进行了修复。
然而,Facebook游戏平台中发现的问题仍然突出,因为Meta的工程师们仍在努力寻找现有的防护措施为何未能阻止这些攻击的原因。
PhishForce在攻击中被滥用
Salesforce CRM允许客户使用首先必须由平台验证的自定义域来代表自己的品牌发送电子邮件。这样可以保护客户不会通过Salesforce发送电子邮件冒充他们没有权限模仿的其他品牌。
但是,Guardio Labs表示,攻击者找到了一种利用Salesforce的“Email-to-Case”功能的方法,组织使用这个功能将收到的客户电子邮件转化为他们的支持团队可以采取行动的工单。
具体来说,攻击者建立了一个新的“Email-to-Case”流程,控制了一个由Salesforce生成的电子邮件地址,然后在“salesforce.com”域上创建了一个新的入站电子邮件地址。
生成的 Salesforce 地址(Guardio Labs)
接下来,他们将该地址设置为“组织范围内的电子邮件地址”,这是Salesforce的批量邮件网关用于发出电子邮件的地址,并最终完成了验证过程以确认域名的所有权。
点击验证链接确认所有权(Guardio Labs)
这个过程使他们能够使用自己的Salesforce电子邮件地址向任何人发送消息,绕过Salesforce的验证保护以及现有的其他电子邮件过滤器和反网络钓鱼系统。
事实上,这正是Guardio Labs在实际环境中观察到的,他们看到了伪装成来自”Meta Platforms”的网络钓鱼电子邮件,使用的是”case.salesforce.com”域名。
真实攻击中取样的网络钓鱼邮件(Guardio Labs提供)
点击嵌入的按钮会将受害者引导至一个托管在Facebook游戏平台(“apps.facebook.com”)上的钓鱼页面。这进一步增加了攻击的合法性,使得邮件接收者更难意识到这是一场欺诈。
托管在 Facebook 游戏平台上的网络钓鱼页面(Guardio Labs)
此次活动中使用的钓鱼工具包的目的是窃取Facebook账户凭证,甚至还具有绕过双因素身份验证的机制。
观察到的攻击链(Guardio Labs)
Meta仍在积极调查网络攻击事件
在2023年6月28日,Guardio Labs发现并复制了一个Salesforce品牌地址的钓鱼邮件问题,并通知了供应商。一个月后,Salesforce解决了这个问题。尽管Facebook在2020年7月停用了“apps.facebook.com”平台,但旧帐户仍然可以访问,威胁者可能在暗网上购买这些帐户。Meta根据Guardio Labs的报告删除了违规页面,但仍在调查现有保护措施为何失效。为避免严重风险,用户应对每一封电子邮件进行仔细检查,而不仅仅依赖电子邮件保护解决方案。
本文转载自https://www.bleepingcomputer.com/news/security/hackers-exploited-salesforce-zero-day-in-facebook-phishing-attack/#google_vignette,本文观点不代表墨知立场。