Недавнее исследование выявило масштабную фишинговую кампанию, направленную на портал грантов G5 Министерства образования США — ключевую платформу для управления грантами и федеральным финансированием в сфере образования. Использование поддельных доменов и продвинутых технических методов создает серьезные условия для компрометации учетных данных пользователей и потенциальных финансовых потерь.
Механизмы атаки: домены-двойники и сложные маскировочные техники
Атака реализуется через несколько доменов-двойников, которые именно клонируют страницу входа в систему G5, чтобы обманом заставить пользователей передать свои логины и пароли. Важно отметить следующие технические особенности фишинговой кампании:
- Вредоносные домены зарегистрированы у поставщика, известного строгим соблюдением правил по злоупотреблениям, что затрудняет их быстрое удаление.
- Все сайты размещены в CDN Cloudflare, что повышает устойчивость к блокировкам и попыткам удаления.
- Поддельные страницы точно имитируют визуальный дизайн и структуру официального портала G5, включая использование JavaScript-валидации в форме входа.
- Поле для ввода данных выполнено с учетом чувствительности к регистру — эта деталь усиливает иллюзию легитимности.
- Передача данных происходит через скрытый скрипт analytics.php, а для создания видимости стандартного процесса регистрации применяется асинхронный цикл updates.php.
- Фишинговые сайты активно используют маскировку на уровне браузера и манипуляции DOM, что помогает обходить автоматические системы обнаружения угроз.
- После ввода учетных данных жертва перенаправляется на вторичную конечную точку, что может служить для дальнейших попыток фишинга или обхода многофакторной аутентификации (MFA).
Опасность кражи учетных данных и возможные последствия
Последствия успешной атаки являются крайне серьезными. Злоумышленники могут:
- Получить доступ к конфиденциальной информации о присуждении грантов;
- Внести изменения в платежные инструкции, что грозит финансовыми потерями;
- Выдавать себя за получателей грантов с целью совершения мошенничества;
- Оказывать влияние на федеральную инфраструктуру и участвовать в атаках на цепочки поставок, что поднимает вопросы национальной безопасности.
Особое беспокойство вызывает сложившаяся ситуация на фоне недавних значительных сокращений в Департаменте образования, что может привести к повышенной уязвимости сотрудников и систем к тактикам социальной инженерии.
Меры реагирования и текущий статус расследования
Для противодействия угрозе были предприняты следующие шаги:
- Все выявленные домены были оперативно помечены и подвергнуты сбоям (takedown).
- Индикаторы угроз переданы в партнерские аналитические сети для отслеживания потенциального повторного использования вредоносных ресурсов.
- Управление Генерального инспектора Министерства образования проинформировано для координации защитных и реагирующих мероприятий.
- Продолжается постоянный мониторинг с целью выявления и устранения будущих угроз, связанных с данной кампанией.
Этот инцидент демонстрирует важность постоянного внимания к кибербезопасности федеральных систем и необходимости своевременного обмена информацией между ведомствами для предотвращения масштабных последствий.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Фишинговая атака на портал грантов G5 угрожает безопасности данных".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.