Tin tặc đang ngày càng lạm dụng domain .gov để thực hiện các chiến dịch phishing, lợi dụng niềm tin mặc định của người dùng đối với các trang web chính phủ. Từ năm 2022 đến 2024, nhiều website chính phủ trên toàn cầu đã bị khai thác để lưu trữ nội dung độc hại, vận hành command-and-control (C2) servers và chuyển hướng người dùng đến các trang phishing.
Các cuộc tấn công chủ yếu khai thác lỗ hổng open redirect, đặc biệt là CVE-2024-25608 trên nền tảng Liferay. Lỗ hổng này cho phép tin tặc vượt qua secure email gateways (SEGs), sử dụng email giả mạo chứa liên kết .gov để lừa người dùng truy cập vào các trang phishing, thường giả dạng cổng đăng nhập Microsoft.
Các domain .gov của Mỹ đứng thứ ba trong số những domain bị khai thác nhiều nhất, với 77% trường hợp lợi dụng lỗi “noSuchEntryRedirect”. Trong khi đó, Brazil là quốc gia bị tấn công nặng nề nhất, với số lượng domain .gov.br bị lợi dụng vượt xa các quốc gia khác.
Khả năng bypass SEGs của domain .gov khiến nhiều hệ thống bảo mật email hàng đầu như Microsoft ATP, Proofpoint và Cisco IronPort không thể chặn đứng các cuộc tấn công. Điều này làm tăng mức độ nguy hiểm của phương thức khai thác này.
Ngoài phishing, một số email chính phủ còn bị chiếm quyền kiểm soát và sử dụng làm C2 server cho malware như Agent Tesla Keylogger và StormKitty. Mặc dù số lượng email chính phủ bị khai thác còn hạn chế, điều này cho thấy ngay cả các hệ thống bảo mật cao vẫn có thể bị xâm nhập.
