Olarak bilinen bir tehdit aktörü Puslu şahin Amazon S3 kovaları ve Microsoft Azure uç noktaları da dahil olmak üzere yüksek profilli kuruluşların terk edilmiş bulut kaynaklarını ele geçirmesi gözlemlenmiştir.
İnfoblox’a göre, kaçırılan alanlar daha sonra kullanıcıları trafik dağıtım sistemleri (TDSES) aracılığıyla dolandırıcılık ve kötü amaçlı yazılımlara yönlendiren URL’leri barındırmak için kullanılır. Tehdit oyuncusu tarafından gasp edilen diğer bazı kaynaklar arasında Akamai, Bunny CDN, Cloudflare CDN, GitHub ve NetLify’da barındırılanlar yer alıyor.
DNS tehdit istihbarat firması, Şubat 2025’te ABD Hastalık Kontrol Merkezi (CDC) ile ilişkili birkaç alt alanının kontrolünü ele geçirdikten sonra tehdit oyuncusunu ilk kez keşfettiğini söyledi.
O zamandan beri dünyanın dört bir yanındaki diğer devlet kurumlarının, önde gelen üniversitelerin ve Deloitte, PricewaterhouseCoopers ve Ernst & Young gibi uluslararası şirketlerin en azından Aralık 2023’ten beri aynı tehdit aktörü tarafından mağdur olduğu tespit edildi.
Infoblox’un Jacques Portalı ve Renée Burton, “Belki de Puslu Hawk ile ilgili en dikkat çekici şey, saygın kuruluşlarla bağları olan bu keşfedilmesi zor, savunmasız alanların, casusluk veya ‘yüksek brow’ siber suç için kullanılmamasıdır.” Dedi.
“Bunun yerine, Adtech’in keyifsiz yeraltı dünyasına besleniyorlar, kurbanları çok çeşitli dolandırıcılıklara ve sahte uygulamalara çırpıyorlar ve kalıcı bir etkisi olacak süreçleri tetiklemek için tarayıcı bildirimleri kullanıyorlar.”
Hozy Hawk’un operasyonlarını dikkate değer kılan şey, meşru kuruluşlara ait güvenilir ve saygın alanların ele geçirilmesidir, böylece kötü niyetli ve spam içeriği sunmak için kullanılırken arama sonuçlarındaki güvenilirliklerini artırır. Ancak daha da önemlisi, yaklaşım tehdit aktörlerinin tespiti atlamasını sağlar.
Operasyonu desteklemek, saldırganların, daha önce 2024’ün başlarında Guardio tarafından spam proliferasyonu için kötü aktörler tarafından sömürüldüğü ve parasallaştırma tıklattığı için daha önce maruz kalan bir teknik olan terkedilmiş alanların kontrolünü ele geçirme yeteneğidir. Oyuncuların yapması gereken tek şey, alan adını ele geçirmek için eksik kaynağı kaydetmektir.
Puslu Hawk, terk edilmiş bulut kaynakları bularak ve daha sonra kötü niyetli amaçlar için komuta ederek bir adım daha ileri gider. Bazı durumlarda, tehdit oyuncusu hangi bulut kaynağının kaçırıldığını gizlemek için URL yönlendirme teknikleri kullanır.
Infoblox, “Bu aktör için puslu Hawk adını, sarkan DNS CNAME kayıtlarına sahip bulut kaynaklarını nasıl buldukları ve kaçırdıkları ve daha sonra kötü niyetli URL dağıtımında kullandıkları için kullanıyoruz.” Dedi. “Etki alanı kaçırma bileşeninin bir hizmet olarak sağlanması ve bir grup aktör tarafından kullanılması mümkündür.”
Saldırı zincirleri genellikle kurbanları pornografik veya korsan içerikle ziyaret etmeye çekerken, kaçırılan alanlarda barındırılan ilk siteleri için meşru sitelerin içeriğinin klonlanmasını içerir. Site ziyaretçileri daha sonra bir sonraki nereye indiklerini belirlemek için bir TDS aracılığıyla huni yapılır.
Şirket, “Hozy Hawk, reklam satış ortağı dünyasında izlediğimiz düzinelerce tehdit aktöründen biri.” Dedi. “Bağlı kuruluş reklam programlarına ait tehdit aktörleri, kullanıcıları özel kötü niyetli içeriğe sürüklüyor ve yeniden yönlendirme yolu boyunca ‘web sitelerinden’ itme bildirimlerine izin vermek için talepleri içerecek şekilde teşvik ediyorlar.”
Bunu yaparken, fikir bir kurbanın cihazını itme bildirimleri ile doldurmak ve her bir bildirim farklı dolandırıcılık, korkutma ve sahte anketlere yol açan ve daha fazla push bildirimine izin verme talepleriyle eşlik etmekle birlikte, kötü niyetli içeriklerin sonsuz bir torrentini sunmaktır.
Puslu Hawk faaliyetlerine karşı önlemek ve korumak için, etki alanı sahiplerinin bir kaynak kapatıldığı anda bir DNS CNAME kaydını kaldırmaları önerilir. Öte yandan, son kullanıcıların bilmedikleri web sitelerinden bildirim isteklerini reddetmeleri tavsiye edilir.
“Puslu Hawk gibi operatörler ilk cazibeden sorumlu olsa da, tıklayan kullanıcı kabataslak ve açık kötü niyetli adtech labirentine yönlendirilir. Puslu Hawk’un savunmasız alanları bulmak için önemli çaba sarf etmesi ve daha sonra bu reklam işleri için bunları kullanma, bu reklam işleme programlarının iyi ödeme için yeterince başarılı olduğunu gösteriyor.”