Siber güvenlik araştırmacıları, tehdit aktörlerinin hükümet web sitelerindeki güvenlik açıklarını daha fazla kimlik avı kampanyalarına kullandıkları kalıcı bir eğilim belirlediler.
Kasım 2022’den Kasım 2024’e kadar olan verilere dayanarak, kötü niyetli aktörler 20’den fazla ülkede çok sayıda .GOV üst düzey alan adlarını (TLD’ler) kötüye kullandılar.
Meşru .gov alanlarının sömürülmesi
.Gov alan adları genellikle kullanıcılar tarafından güvenilirken, bu güven kimlik avı sayfalarını barındırmak, kurbanları kötü amaçlı bağlantılara yönlendirmek, hatta komut ve kontrol (C2) sunucuları olarak hizmet etmek için kullanılmaktadır.
Web uygulamalarının kullanıcıları harici, kötü niyetli hedeflere yönlendirdiği bir tür güvenlik açığı olan açık yönlendirmeler, bu siber kampanyalarda merkezi bir rol oynar.
Söz konusu .gov alanları genellikle kimlik avı e-postalarına gömülür ve saldırganların doğal olarak devlet bağlantılı alanlara güvenen güvenli e-posta ağ geçitlerini (SEG’ler) atlamasına izin verir.
Yeniden yönlendirmenin farkında olmayan kurbanlar, kimlik avı sayfalarında hassas kimlik bilgilerini paylaşmaya çekilir.
Liferay platformlarının rolü
Kötüye kullanımın önemli bir kısmı, yaygın olarak kullanılan Liferay Dijital Deneyim Platformunda bir güvenlik açığı olan CVE-2024-25608’e bağlı açık yönlendirme istismarlarından kaynaklanmaktadır.
.GOV alanlarını içeren gözlemlenen kimlik avı kampanyalarının yaklaşık% 60’ı, bu özel sömürü gösteren bir “burunlu” yol taşıdı.
Liferay’ın birden fazla hükümet kuruluşunda benimsenmesi bu kapsamlı istismara katkıda bulunmuş olabilir.
Güvenlik açığı, saldırganların kullanıcıları kimlik kimlik avı sayfalarına veya aracı sitelerine yönlendirmesine olanak tanır.
Bu tür güvenlik açıkları hükümet web sitelerine özel olmasa da, varlıkları web geliştiricileri arasında uyanıklığın öneminin altını çizmektedir.
Kofense raporuna göre, hükümetler ve kuruluşlar, eski veya eşleştirilmemiş yazılımlardan kaynaklanan riskleri azaltmak için yama yönetimine ve güvenlik denetimine öncelik vermelidir.
Amerika Birleşik Devletleri’ne bağlı .gov alanları, sömürülen tüm alanların sadece% 9’unu oluştururken, küresel olarak en çok hedeflenen üçüncü olarak kalıyorlar.
Gözlenen tüm ABD’ye özgü .gov Domain kötüye kullanımı vakaları, öncelikle CVE-2024-25608 ile bağlantılı açık yönlendirmeler içeriyordu.
Microsoft temalı kimlik avı kampanyaları özellikle belirgindi, genellikle meşru varlıkları taklit eden ve Microsoft ATP, Cisco Ironport ve Proofpoint gibi yaygın olarak kullanılan SEG’leri atlayan e-postalar içeriyordu.
İstatistiksel analiz, istismarın çoğunluğunun küçük bir hükümet alanları alt kümesinden kaynaklandığını ortaya koymaktadır.
Örneğin, Brezilya .gov alanları en çok sömürülen olarak ortaya çıktı, ancak kötüye kullanım sınırlı sayıda benzersiz alanda yoğunlaştı.
Bu model diğer ülkelerde tutarlıydı ve yaygın güvenlik açığı yerine hedeflenen sömürü öne sürüyordu.
Yönlendirme tabanlı istismarın yanı sıra, bazı tehlikeye atılan .gov etki alanı e-posta adresleri, Ajan Tesla Keylogger ve Stormkitty gibi kötü amaçlı yazılımlar için C2 altyapısı olarak yeniden tasarlanmıştır.
Bu olaylara rağmen, frekans düşük kalır ve hükümetlerin e -posta sistemlerini korumak için adımlar atabileceğini vurgular.
Kimlik avı için .gov alanlarının sömürülmesi, güvenilir dijital altyapı güvence altına alma zorluğunun altını çizmektedir.
Yüksek değerli hedefler olarak hizmet veren hükümet web siteleri, örgütsel düzeyde sürekli izleme, zamanında yama ve güvenlik bilinci riskleri azaltmak için kritik öneme sahiptir.
Tehdit aktörleri yenilik yapmaya devam ettikçe, siber güvenlikteki işbirlikçi çabalar, gelişen tehditlere karşı savunmada önemli bir rol oynayacaktır.
SOC/DFIR ekiplerinden misiniz? -kötü amaçlı yazılım dosyalarını ve bağlantılarını herhangi biriyle analiz edin. Run Sandox -> Ücretsiz dene