Panoramica

Il 14 aprile 2025 alle ore 15:54 UTC è emersa una segnalazione che indicava che alcuni utenti stavano ricevendo messaggi di spam provenienti dal dominio sophos.com. In meno di un’ora il nostro team Sophos Internal Detection and Response ha preso atto della situazione e ha iniziato a indagare sulla segnalazione.

Le nostre indagini hanno rivelato l’utilizzo di account di prova gratuita per sfruttare un difetto logico nel sistema di convalida di Sophos Email, che verifica l’autorizzazione dei mittenti a inoltrare i messaggi attraverso il nostro servizio di posta elettronica nel cloud.

Il team Sophos è entrato immediatamente in azione bloccando gli account e gli IP responsabili di questo utilizzo improprio, nell’ambito di un’indagine volta a individuare il metodo sfruttato dagli autori dell’attacco per eludere il criterio di convalida.

L’indagine ha stabilito che la logica utilizzata per obbligare l’account di un cliente a inviare e-mail solo dai domini che controlla non era abbastanza rigida. Sono state applicate soluzioni permanenti per prevenire questo tipo di utilizzo improprio in futuro. Inoltre, sono state imposte restrizioni sugli account di prova gratuita, in modo da prevenire eventuali tentativi futuri di individuare difetti da parte di account non verificati.

Impatto

Gli autori degli attacchi hanno potuto inviare circa 1,9 milioni di messaggi di spam non malevoli con i gateway di Sophos. L’utilizzo improprio sfruttava principalmente gli indirizzi e-mail in uscita “info [CHIOCCIOLA] sophos [PUNTO] com” e “news [CHIOCCIOLA] sophos [PUNTO] com”, ma includeva 30 messaggi che imitavano i domini di 12 clienti Sophos Email. Il Supporto Sophos ha informato tutti i clienti coinvolti.

Cronologia

Data e oraEvento
2 aprile 2025Primo account di prova gratuita creato dai cybercriminali per scoprire come eludere il criterio del filtro che previene l’imitazione di altri domini.
13 aprile 2025, h 18:00 UTCI cybercriminali iniziano a inviare grandi quantità di e-mail in uscita tramite i gateway di Sophos Email.
14 aprile 2025, h 15:54 UTCPost iniziale su Reddit di /u/jegraves che esprime perplessità sullo spam proveniente dall’indirizzo “info [CHIOCCIOLA] sophos [PUNTO] com”.
14 aprile 2025, h 16:52 UTCIl team Sophos Internal Detection and Response (IDR) prende atto del post su Reddit e procede a effettuare il triage dell’incidente.
14 aprile 2025, h 17:05 UTCSophos IDR avvia l’indagine coinvolgendo le principali parti interessate.
14 aprile 2025, h 19:07 UTCSophos blocca il dominio di destinazione della campagna di spam.
15 aprile 2025, h 06:00 UTCVengono implementate modifiche in produzione per prevenire lo spoofing di sophos.com.
15 aprile 2025, h 16:33 UTCBlocco in Sophos Email di tutti gli IP e gli indirizzi e-mail coinvolti nel caso di utilizzo improprio.
17 aprile 2025, h 11:51 UTCDisattivazione di tutti gli account di prova gratuita collegati a campagne di spam.
19 aprile 2025, h 04:59 UTCModifica del criterio per impedire l’invio di e-mail in uscita con account di prova gratuita non gestiti da un Partner o da un Rivenditore.


Analisi

Per ovvi motivi, Sophos Email deve considerare attentamente le origini di tutti i messaggi inviati per l’inoltro in uscita, al fine di prevenire l’utilizzo improprio. Al lancio del servizio, il sistema inoltrava i messaggi di posta elettronica solo se sia il mittente della busta (o l’intestazione “Da”, se il mittente era NULL), che l’indirizzo IP appartenevano al cliente associato al dominio. Questo causava problemi per i messaggi inoltrati (ad es. gli inviti del calendario) che non rispettavano i criteri previsti, e portava al rifiuto di questi messaggi.

Nel 2019 è stato introdotto un cambiamento di questa logica, in modo che, oltre all’intestazione del Mittente, venissero considerati anche il mittente della busta e l’intestazione “Da”. Questo permetteva a un utente che riceveva un invito esterno del calendario da example.org di inoltrare questo invito a un amico a example.com anche se l’intestazione “Da” risultava essere quella di un dominio esterno ai sistemi del cliente, a patto che l’intestazione del Mittente appartenesse al cliente.

Tutto ciò ha creato le condizioni utilizzate in maniera impropria dai cybercriminali. Un mittente malintenzionato era così in grado di registrarsi per ricevere un account di prova gratuita e inviare un messaggio con valore NULL per il mittente, un’intestazione del Mittente con un indirizzo e-mail appartenente al dominio dell’account di prova gratuita, e un indirizzo “Da” che veniva gestito attivamente da altri clienti Sophos Email (principalmente sophos.com).

Anche se gli autori dell’attacco hanno registrato il loro primo account di prova gratuita il 2 aprile 2025, sembra che questa sia stata una prima fase sperimentale. Non hanno cominciato a inviare attivamente spam fino al 12 aprile 2025, limitando così il periodo totale di utilizzo improprio a meno di due giorni.

Risoluzione

Azioni immediate

Il 15 aprile 2025 sono state intraprese azioni immediate per bloccare i domini e gli indirizzi IP associati ai cybercriminali e per disattivare 24 account associati alle attività di spam.

Il 16 aprile 2025 sono stati implementati cambiamenti nella logica primaria per risolvere questo incidente, che includevano il miglioramento del criterio applicato nel 2019 per renderlo più restrittivo. Ora uno dei requisiti di Sophos Email è che, quando il mittente della busta risulta NULL, il dominio dell’intestazione “Da” deve appartenere allo stesso cliente dell’intestazione del Mittente. Questo rende possibile il caso di utilizzo degli inviti del calendario indicato in precedenza, ma impedisce ai clienti di imitare altri domini gestiti da Sophos Email.

Il 18 aprile 2025 è stata applicata una terza modifica per mitigare i casi futuri di utilizzo improprio, negando agli account di prova gratuita l’autorizzazione di inviare e-mail in uscita. Questo cambiamento si applica a tutti gli account di prova gratuita creati da ora in poi, a meno che non vengano creati in modo diverso da un Partner Sophos.

Sophos desidera ringraziare /u/jegraves per averci segnalato questo problema. Questo utente ha ricevuto un premio nell’ambito del nostro programma Bug Bounty.

Azioni a lungo termine

Miglioramento delle capacità di rilevamento per individuare le attività sospette provenienti dagli account di prova gratuita in Sophos Email. La maggior parte delle attività inizia con azioni a breve termine, come la creazione di un account; questo offre l’opportunità di analizzare i comportamenti degli account e di adottare un approccio maggiormente proattivo alla mitigazione degli utilizzi impropri.

Azioni aggiuntive

Consigliamo ai Clienti di eliminare le e-mail di spam o sospette provenienti dagli indirizzi “info [CHIOCCIOLA] sophos [PUNTO] com” e “news [CHIOCCIOLA] sophos [PUNTO] com” che sono state ricevute fra il 13 aprile 2025 e il 16 aprile 2025.

Se hai ulteriori domande e se richiedi assistenza in merito a questo incidente, contatta il Supporto tecnico Sophos utilizzando una delle opzioni elencate di seguito.

  • Invia un caso: accedi al Portale del Supporto tecnico e clicca su Assistenza -> Crea ticket di supporto
  • Clienti MDR: contattaci utilizzando la tua dashboard di MDR oppure rivolgendoti direttamente al tuo contatto Sophos dedicato per la risposta alle minacce.