Siber suçlular, kimlik avı kampanyalarını yürütmek için hükümet web sitelerindeki güvenlik açıklarından giderek daha fazla yararlanıyor ve kullanıcıların resmi alanlarda yer alan doğal güvenden yararlanıyor.
Cofense Intelligence’ın yakın tarihli bir raporu, saldırganların kimlik bilgisi avı, kötü amaçlı yazılım teslimi ve komut ve kontrol (C2) operasyonları dahil olmak üzere kötü niyetli amaçlar için birçok ülkede .gov üst düzey alan adlarını (TLDS) nasıl silahlandırdığını göstermektedir.
Tehdit aktörleri tarafından kullanılan temel yöntemlerden biri, açık yönlendirme güvenlik açıklarından yararlanmayı içerir.
Açık yönlendirmeler, bir web uygulaması kullanıcıları kullanıcı tarafından kontrol edilen girişlere göre dış sitelere yanlış ilettiğinde gerçekleşir.
CoFense araştırmacıları, saldırganların genellikle varsayılan olarak hükümet alanlarına güvenen güvenli e -posta ağ geçitlerini (SEG’ler) atlamasına izin verdikleri için tüm bu güvenlik açıklarının özellikle tehlikeli olduğunu belirtti.
- Anahtar istismar: İstismar edilen .gov alanlarının yaklaşık% 60’ı CVE-2024-25608 ile bağlantılı “NousuchentrediDirect” yolunu içeriyordu. Devlet kurumları tarafından yaygın olarak kullanılan Liferay dijital platformunda bulunan bu güvenlik açığı, saldırganların kullanıcıları güvenilir .gov URL’lerinden kötü amaçlı kimlik avı sayfalarına yönlendirmesini sağlar.
- Darbe: Mağdurlar genellikle tam URL’yi incelemeden bu bağlantıları tıklar ve kimlik bilgisi hasat için kolay hedefler haline gelir.
Aşağıdaki diyagram, bu tür saldırılarda kullanılan sömürülen bir URL’nin anatomisini göstermektedir:-
.webp)
Jenkins & Jira -> Ücretsiz Web Semineri kullanarak uygulama güvenliğini CI/CD iş akışlarınıza entegre etmek
Global Trendler ve ABD Hükümeti alan adları
Kasım 2022’den Kasım 2024’e kadar, 20’den fazla ülke bu kampanyalardan etkilendi. Brezilya en çok hedeflenen ülke, ardından Kolombiya ve ABD izledi. ABD tabanlı .gov alanları toplam istismar vakalarının sadece% 9’unu oluştururken, küresel olarak üçüncü sırada yer aldı.
- ABD Alan Adı Sömürü: Gözlemlenen tüm ABD alanları açık yönlendirmeler için sömürüldü,% 77’si “NosuchentrediDirect” elemanını içeriyordu.
- Kimlik avı temaları: Birçok kampanya, anlaşmalarla ilgili imzalar talep ettiği görünen e -postaları kullanarak Microsoft Hizmetlerini taklit etti. Bu kampanyalar Microsoft ATP ve Mimecast gibi büyük SEG’leri atladı.
Açık yönlendirmelere ek olarak, bazı tehlikeye atılan hükümet e-posta adresleri, Ajan Tesla Keylogger ve Stormkitty gibi kötü amaçlı yazılımlar için 2023 ortasında ve 2024’ün başlarında C2 sunucuları olarak kullanıldı. Bu vakalar sınırlı olsa da, yetersiz e-posta güvenliğinin ortaya koyduğu risklerin altını çiziyorlar.
.webp)
Bu tehditlere karşı koymak için uzmanlar, CVE-2024-25608 gibi güvenlik açıklarını ele almak için Liferay gibi yazılım platformlarını düzenli olarak güncellemenizi önerir.
Daha katı giriş doğrulaması uygulamak, açık yönlendirmeleri önlemeye yardımcı olurken, kullanıcı farkındalık eğitimi bireylerin kimlik avı girişimlerini belirleyebilmesini ve URL’leri inceleyebilmesini sağlar.
Ayrıca, güvenilir alanları bile incelemek için politikaları ayarlayarak güvenli e -posta ağ geçidi (SEG) yapılandırmalarının geliştirilmesi, güvenlik önlemlerini daha da güçlendirir.
Kimlik avı kampanyaları için hükümet web sitelerinin sömürülmesi, şüphesiz kullanıcılara karşı güvenilir dijital altyapının bile silahlandırılabileceğini göstermektedir.
Collect Threat Intelligence with TI Lookup to improve your company’s security - Get 50 Free Request