Bulut güvenliği, güvenlik işlemleri
Alan kaçırma döküntülerinin arkasında ‘puslu şahin’
Prajeet Nair (@prajeaetspeaks) •
21 Mayıs 2025
Ticari alan adı Sistemi Arşivleme Hizmetine görünür erişime sahip bir hack grubu, scammy alanlarına bağlantıları patlatmak için yüksek rötuş kuruluşlarının yanlış yapılandırılmış kayıtlarının avlanmasıyla ilgilidir.
Ayrıca bakınız: Talep üzerine | Bulut ortamlarında çeviklik, maliyet ve risk dengeleme
Bulut güvenlik şirketi Infoblox tarafından “Puslu Hawk” olarak izlenen bir tehdit oyuncusu, ABD’nin Şubat ayında Hastalık Kontrol ve Koruma Merkezlerine ait bir alan adının “aniden porno videolarına atıfta bulunan düzinelerce URL’ye ev sahipliği yaptıktan sonra dikkatini çekti.”
Şirket Salı günü yaptığı açıklamada, “Hozy Hawk, Amazon Web Services S3 kovaları ve Azure uç noktaları gibi terk edilmiş bulut kaynaklarına işaret eden yanlış yapılandırılmış DNS kayıtları aramak için alışılmadık bir çalışmada yer alıyor.”
En az Aralık 2023’ten beri etkin bir operasyonda, tehdit oyuncusu, artık kullanılmayan bir bulut hizmetine işaret edip etmediğini görmek için DNS kayıtlarının CNAME alanını kontrol ediyor. CNAME alanı, bir alanı diğerine eşler ve tarayıcıların bir takma ad URL’sini kanonik bir alana çözmesine izin verir. CNAME alanı artık var olmayan bir bulut hizmetine işaret ettiğinde bir güvenlik açığı vardır ve bilgisayar korsanlarına aynı adla bulut hesapları oluşturmak için bir açıklık verir.
Infoblox, “Puslu Hawk ile ilgili belki de en dikkat çekici şey, saygın kuruluşlarla bağları olan bu keşfedilmesi zor, savunmasız alanların casusluk veya ‘yüksek brow’ siber suç için kullanılmamasıdır.” “Bunun yerine, kurbanları çok çeşitli dolandırıcılıklara ve sahte uygulamalara çırparak Adtech’in keyifsiz yeraltı dünyasına besleniyorlar.”
Terk edilmiş bulut kaynaklarına işaret eden sarkan cname kayıtlarını bulmak kolay bir iş değildir, yani Hozy Hawk muhtemelen alan adı kayıtları hakkında geçmiş verileri barındıran pasif bir DNS hizmetine erişebilir.
Tehdit oyuncusunun diğer kurbanları arasında California-Berkeley Üniversitesi, Dignity Health, Honeywell ve Deloitte yer alıyor.
Hozy Hawk, bir CNAME kaydıyla terk edilmiş bir bulut kaynağı bulduğunda, kullanıcıları blogspot veya gibi platformlar aracılığıyla sık sık yeniden yönlendiren aldatıcı URL’ler oluşturur. js.org Bunları trafik dağıtım sistemi ağına yönlendirmeden önce. Son yük, sahte captchas ve uygulama indirmelerinden Clickbait veya hileli tekliflere kadar değişen cihaz ve konuma göre değişir.
Push bildirimleri işlemde önemli bir rol oynar. Push uyarılarının ilk etkileşimden çok sonra aldatmaca bağlantıları almasını sağlamak için kandırılan kurbanlar, yeraltı reklam ağları aracılığıyla sürekli sahtekarlık ve para kazanmayı mümkün kıldı. Infoblox, itme altyapısını RollerAds ve Moneybadgers gibi bilinen aktörlerle ilişkilendirdi.
Yayın itibariyle, Hozy Hawk’un operasyonlarıyla ilişkili alanların çoğu aktif kalıyor ve kampanyanın devam ettiğini gösteriyor.