Infoblox, Aralık 2023’ten bu yana terk edilmiş bulut kaynaklarından (S3, Azure) ve DNS boşluklarından yararlanan yeni bir tehdit olan Hazy Hawk’u ortaya çıkarıyor. Taktikleri ve kuruluşunuzu ve kullanıcılarınızı nasıl koruyacağınız hakkında bilgi edinin.
Infoblox Tehdit İstihbaratı’ndaki siber güvenlik araştırmacıları, en azından Aralık 2023’ten beri unutulmuş bulut kaynaklarını aktif olarak ele geçiren yakın zamanda tanımlanmış bir tehdit, Dublajlı Hawk hakkında eleştirel bulgular yayınladılar.
Raporunda, sadece hackread.com ile paylaşıldı. Araştırmacılar, bu ileri grubun bildiğini belirttin DNS meraklı taktikleri ve alanın adı Sistemi (DNS) kayıtlarındaki boşlukları kullanma, şüphesiz İnternet kullanıcılarını hileli web sitelerine ve kötü amaçlı yazılımlara yönlendirmek için.
Bu vahiy, Federal Ticaret Komisyonu (FTC), 2023 yılından itibaren dolandırıcılıkla ilgili kayıplarda% 25’lik önemli bir artış olduğunu ve toplam 12,5 milyar dolarlık bir artış olduğunu gösteriyor.
Saldırı
Infoblox ilk olarak, grubun ABD Hastalık Kontrol Merkezleri’ne (CDC) ait alt alanların kontrolünü başarıyla ele geçirdiği Şubat 2025’te Hozy Hawk’un faaliyetlerini tespit etti. Siber güvenlik gazetecisi Brian Krebs, CDC’nin alanında şüpheli etkinlik fark eden ilk kişi oldu.
Hozy Hawk’un yöntemi, Amazon S3 kovaları, Azure uç noktaları, Akamai, Cloudflare CDN ve GitHub gibi terk edilmiş bulut kaynaklarına işaret eden cname kayıtları olan sarkan DNS kayıtlarını bulmayı içerir. Bu kaynakları kaydeder, kontrol kazanırlar ve sayısız kötü amaçlı URL’ye ev sahipliği yapmak için kullanırlar. Infeblox, belirli bulut kaynaklarını bulma ve kaçırma yöntemleri nedeniyle Grubu Puslu Hawk olarak adlandırdı.
Mağdurlar nasıl çekilir ve savunmalardan kaçınılır
Hozy Hawk, sahte tarayıcı Notificatio da dahil olmak üzere kurbanları aldatmak için çeşitli taktikler kullanıyorNS ve hileli uygulamalar, bağlantı hedeflerini gizlemek için URL gizlemesi kullanılarak ve ilk sayfalarının güvenilir görünmesini sağlamak için yasal web sitelerinden kodu yeniden düzenlemek. Ayrıca AWS S3 kova URL’lerini değiştirir veya Bristol Üniversitesi web sitesine yönlendirirler.
Bir kullanıcı kötü niyetli bir bağlantıyı tıkladıktan sonra, Blogspot gibi birden fazla yeniden yönlendirme sitesinden veya TinYURL, Bitly ve Trafik Dağıtım Sistemleri (TDSS) gibi bağlantı kısaltmalarına ulaşmadan önce yönlendirilir. viralclipnow.xyz.
Bu sistemler, dolandırıcıların karlarını en üst düzeye çıkarmak ve güvenlik uzmanlarının dinamik olarak içeriği değiştirerek saldırıları izlemesini zorlaştırmak için tasarlanmıştır, bu da kurbanları teknoloji destek sahtekarlığı veya hediye kartı şemaları gibi dolandırıcılıklara götürür.
Araştırma, push bildirimlerinin, tehdit oyuncusunun kurbanın onayını alan iştirakten yüzde 70-90 gelir payı alabileceği ve RollerAds gibi hizmetlerle tekrarlanan kurbanın hedeflenmesini sağlayabileceğini ortaya koyuyor.
Bu tür kaçırmaları önlemek için kuruluşlar, bulut kaynakları emekli olduğunda DNS CNAME kayıtlarını kaldırma da dahil olmak üzere iyi yönetilen DN’leri kullanmalıdır. Son kullanıcılar, tehdit aktörleri web sitesi adlarını değiştirse bile kötü amaçlı alanlara erişimi engelleyen koruyucu DNS çözümleri aracılığıyla kendilerini koruyabilir ve web sitesi bildirim taleplerine dikkat edin