Deep Web
Η απειλή του Hazy Hawk: Κατάληψη DNS για διανομή κακόβουλου λογισμικού
Ο Hazy Hawk εκμεταλλεύεται DNS για κακόβουλο λογισμικό, στοχεύοντας κυβερνητικούς και εταιρικούς τομείς.
Η νέα απειλή στον κυβερνοχώρο
Ένας νέος απειλητικός παράγοντας, γνωστός ως Hazy Hawk, έχει εντοπιστεί να καταλαμβάνει εγκαταλελειμμένους πόρους cloud από υψηλού προφίλ οργανισμούς, όπως οι Amazon S3 buckets και τα Microsoft Azure endpoints. Η εκμετάλλευση αυτή γίνεται μέσω παραμετροποιήσεων στο Domain Name System (DNS), επιτρέποντας στον Hazy Hawk να αποκτήσει πρόσβαση σε κρίσιμες υποδομές.
Εκμετάλλευση εγκαταλελειμμένων πόρων
Οι καταληφθέντες τομείς χρησιμοποιούνται για να φιλοξενήσουν URLs που κατευθύνουν τους χρήστες σε απάτες και κακόβουλο λογισμικό μέσω συστημάτων διανομής κίνησης (TDSes). Σύμφωνα με την Infoblox, μεταξύ των πόρων που έχουν καταληφθεί περιλαμβάνονται υπηρεσίες από Akamai, Bunny CDN, Cloudflare CDN, GitHub και Netlify.
Στόχοι υψηλού προφίλ
Η εταιρεία DNS threat intelligence ανακάλυψε για πρώτη φορά τον Hazy Hawk όταν απέκτησε έλεγχο σε αρκετά υποτομείς που σχετίζονται με το Κέντρο Ελέγχου και Πρόληψης Νοσημάτων των ΗΠΑ (CDC) τον Φεβρουάριο του 2025. Έκτοτε, έχει διαπιστωθεί ότι άλλες κυβερνητικές υπηρεσίες παγκοσμίως, καθώς και διεθνείς εταιρείες όπως οι Deloitte, PricewaterhouseCoopers και Ernst & Young, έχουν επίσης πέσει θύματα του ίδιου απειλητικού παράγοντα από τον Δεκέμβριο του 2023.
Η σκοτεινή πλευρά της διαφήμισης
«Το πιο αξιοσημείωτο για τον Hazy Hawk είναι ότι αυτοί οι δύσκολοι στην ανίχνευση, ευάλωτοι τομείς με δεσμούς με αξιόλογους οργανισμούς δεν χρησιμοποιούνται για κατασκοπεία ή “υψηλού επιπέδου” κυβερνοεγκλήματα», ανέφεραν οι Jacques Portal και Renée Burton της Infoblox. Αντίθετα, τροφοδοτούν τον σκοτεινό κόσμο της διαφήμισης, οδηγώντας τα θύματα σε μια σειρά από απάτες και ψεύτικες εφαρμογές.
Η τεχνική της κατάληψης τομέων
Η λειτουργία υποστηρίζεται από την ικανότητα των επιτιθέμενων να καταλαμβάνουν εγκαταλελειμμένους τομείς με “κρεμασμένα” DNS CNAME records, μια τεχνική που είχε αποκαλυφθεί από την Guardio στις αρχές του 2024. Οι επιτιθέμενοι χρειάζεται απλώς να καταχωρίσουν τον ελλείποντα πόρο για να καταλάβουν τον τομέα.
Προστασία και πρόληψη
Για να αποτραπούν οι δραστηριότητες του Hazy Hawk, συνιστάται στους ιδιοκτήτες τομέων να αφαιρούν τα DNS CNAME records μόλις ένας πόρος κλείσει. Οι τελικοί χρήστες, από την άλλη, πρέπει να απορρίπτουν αιτήματα ειδοποιήσεων από ιστοσελίδες που δεν γνωρίζουν.
Η επιτυχία του Hazy Hawk δείχνει ότι οι διαφημιστικές συνεργασίες είναι αρκετά κερδοφόρες για να προσελκύσουν τέτοιες εγκληματικές δραστηριότητες. Η προσοχή και η επαγρύπνηση είναι απαραίτητες για την προστασία από τέτοιες απειλές.
