威胁参与者使用政府的网站漏洞进行网络钓鱼活动

作者：马克斯·甘农（Max Gannon）

Cofsense情报一直在观察到合法剥削领域服务的滥用或使用。该报告强调了对滥用高级领域（TLD）的威胁，对参与者的观察。

威胁参与者定期出于恶意目的滥用合法领域，例如档案或网络钓鱼识别信息，用作命令和控制（C2），或用于重定向到威胁行为者的恶意性。不幸的是，这些虐待区也不例外，尽管它们似乎比其他地区遭受的虐待频率要少。

开放重定向

MITER定义的开放重定向是“ Web应用程序接受用户控制的输入（又称威胁），该输入指定了指向外部站点的链接并在重定向中使用此链接”。威胁参与者经常利用开放的重定向（例如Google AMP和Tiktok）来绕过安全的企业邮箱网关（SEGS），并且.gov域也被滥用。

不同的.gov tld之后是Cofense智能是适应识别网络钓鱼含量的最常用的。但是，这仅限于相对较少的领域，这些区域用于托管9个不同的活动，最多可容纳9个不同的文件。更多的独特区域已被用作开放重定向。这些领域通常被整合到企业邮箱中，以绕过默认情况下可能信任.gov的SEG。这使威胁参与者得以接触受害者，他们可能会单击指向网站的链接。政府没有阅读URL的结尾，并意识到它们将被重定向到网站网站识别信息。

几乎60％的.gov地区。这可能与CVE-2024-25608有关，该CVE-2024-25608利用了许多政府组织使用的数字Liveray平台中的脆弱性。易于开放重定向的漏洞的Web应用程序太普遍了，这意味着网站必须不断警惕。

通过使用此CVE和其他几种也可以在其他产品中成为CVE的方法，威胁参与者已经能够滥用许多政府网站，以重定向到导致识别网络钓鱼页面的网络钓鱼或中介机构的页面。图1显示了用于利用网络钓鱼活动中开放重定向的.gov域的不同方面。

威胁 - 演奏者 - 探索政府 - 网站 - vulnerabilities for-phishing-fishing-campaign_figure1.png

图1：用滥用的.gov域观察到的开放重定向方法。

美国政府领域

尽管在美国相关的.gov领域仅占.gov地区的9％。^路最受虐待，是值得的。从2022年11月至2024年11月，在美国的所有.Gov地区都遭受了虐待，用于开放重定向。这与其他国家的.gov领域形成鲜明对比，这些领域也受到妥协并用于适应识别网络钓鱼或其他恶意内容。超过77％的开放式重定向使用了“非刺者”，这使得政府基于美国的网站可能也停留在CVE-2024-25608中。

企业邮箱趋势

基于美国开放重定向的广告系列滥用.GOV领域都以微软为主题，其中包括Microsoft徽标和指标在内的身份证信息的网络钓鱼页面。超过一半的企业邮箱具有与签署一种协议有关的主题。这些广告系列绕过了包括Microsoft ATP，ProofPoint，Cisco Ironport，Symantec Messagelabs和Mimecast在内的大多数主要SEG。这是.gov域绕过SEG的成功指标。一些美国领域样本。政府在表1中列出。

表1：美国的各个领域。 Gov用于开放重定向以及URLLSCAN数据。

URL	捕获的重定向	主动威胁报告（ATR）
hxxp（:) //动量（。）princegeorgesCountymd（。）gov / c / c / blogs / find_entry？ p_1_id = 0＆nosuchentryredirect = hxxp（:) // myvirtualCare（。）health（。）nsw（。）gov（。）继续= // Mesin（。）ft（。）unib（。）ac（。）ID / sign /	Urllscan	306866
hxxps（:) // ecity（。）springfieldmo（。）gov / c / c / blogs / find_entry？ p_1_id = 0＆nosuchentryredirect = hxxps（:) // biola（。）edu // shinro（。）edu（。）vn / doc。 //	Urllscan	295925
hxxps（:) // www（。）dol（。）gov / c / c / blogs / find_entry？ p_1_id = 0＆nosasasatryredirect = hxp（:) // gemolong（。或（）或（）或（）或（）或（）或（）或（）或（）或。）ID / DOC /	Urllscan	300974
hxxps（:) // www（。）myHealth（。）va（。）gov / c / c / blogs / find_entry？ p_l_id = 0＆nosuchentryredirect = hxxps（:) // pub-f01585Adf15642eca2e96231dbf6a84（。）r2（。）r2（。）dev / index3（..）html	N /A。	329768
HXXPS（:) // www（。）娱乐（。）gov / api / redirect？ Account_ID = 32DD40E4-07FA-5832-ADB6-E94B3D1A05E5＆url = hxxps（:) // saricei（。）com / o /？	Urllscan	380023
hxxps（:) // www（。）sba（。）gov /// www（。）	Urllscan	290470

划定政府领域

已经确定了20多个国家的政府领域。尽管有20多个不同的国家，但前7个国家经常被政府滥用，占该国的75％的.gov地区滥用网络钓鱼运动。在网络钓鱼运动中，其余16个国家单独代表的不到4％的.gov地区。图2分解了该国根据乡村使用该领域所见的最佳政府地区。巴西是明确的领导者，占3个最高的国家。但是，最常见的3个区域以外的区域以外的区域，占该区域的65％。 BR经常被滥用。

尽管将这些结果作为旨在捍卫其基础架构努力的有效性的晴雨表可能很诱人，但重要的是要注意，这些数据也可能受其他因素（例如Liveray）的影响（即Liveray）），使用折衷域的演员的利息威胁和目标（本报告专门涵盖用作篡夺或折衷发送者的企业邮箱地址的.gov域）。

威胁 - 演奏者 - 探索政府 - 沃斯特 - vulnerabilities for-phishing-fishing-campaign_figure2.png

图2：根据URL的频率，该国滥用了政府领域。

当仅考虑独特的区域，并且忽略了容纳几条不同路径的区域时，如图3所示，该图似乎相似，巴西总是在很大的顶部。但是，越南已被菲律宾取代，这表明越南政府的几个地区可能遭到了多次滥用，而菲律宾政府领域可能遭到了更多独特的地区滥用。

威胁 - 演员 - 爆炸 - 政府 - 局势 - vulnerabilities-for-phishing-campaign_figure3.png

图3：该国在独特地区滥用的政府领域。

该运动的语言与.gov领域的国家之间没有关系。这表明威胁参与者可能不是从.gov区域开始的，而是在他周围生成企业邮箱。取而代之的是，他们可能会产生一个广告系列，然后尝试找到在活动中使用的信任领域，或者只是购买妥协或虐待领域的访问权限。

C2

威胁行为者最常虐待的行为者。Gov地区是开放的重定向，将其重定向到恶意地点；但是，某些受妥协的政府企业邮箱地址已被特斯拉·凯特（Tesla Keylogger）和2024年初和2024年初的特斯拉·凯·凯特（Tesla Keylogger）和stormkitty用作C2。事实，只有两个企业邮箱地址被妥协并被恶意用作C2，这可以被视为一个鼓励的标志，鼓励了这一点。政府对通过企业邮箱的安全谨慎。

表2：用作C2S的.GOV域中的两个企业邮箱地址。

妥协企业邮箱地址	恶意软件家庭	相关的
一（。）sylhet（@）dphe（。）gov（。）bd	特工特斯拉·凯洛格（Tesla Keylogger），Stormkitty	324371，325758，325866
附件-IV（。）hta（@）kp（。）gov（。）pk	Tesla Keylogger代理	359271，359607，361292