Группа хакеров под названием Hazy Hawk проводит изощрённые атаки, захватывая заброшенные облачные ресурсы крупных организаций, включая правительственные учреждения и корпорации. Используя уязвимости в DNS-записях, злоумышленники перенаправляют пользователей на мошеннические сайты и распространяют вредоносное ПО.
Описание
Hazy Hawk - группа хакеров, которые ищут уязвимые записи DNS, чтобы захватывать облачные ресурсы организаций. Захват доменов используется для размещения множества URL-адресов, которые направляют пользователей к мошенникам и вредоносным программам через системы распределения трафика (TDS). Уязвимые домены, связанные с легитимными организациями, используются для мошеннической деятельности, а не для шпионажа. Hazy Hawk выявляет уязвимости в DNS-записях и использует многоуровневую защиту, чтобы избежать обнаружения.
Hazy Hawk привлекли внимание после захвата поддоменов Центра по контролю заболеваний США, что позволило им размещать URL-адреса с подделками на сайте CDC. Агент угроз был замечен также в атаках на другие правительственные учреждения, университеты и международные компании. Обнаружение уязвимых записей DNS сложно, что указывает на доступ Hazy Hawk к пассивным службам DNS. Их атаки базируются на неправильной конфигурации DNS-записей и могут включать в себя вредоносные уведомления для увеличения мощности атаки.
Подозрения в захвате DNS возникли, когда пользователи зафиксировали необычные URL-адреса на поддомене CDC, привязанном к сайту Azure. Деятельность Hazy Hawk обнаружена после того, как URL-адреса с мошенническим содержанием появились в результатах поиска. Киберпреступники используют защиту от обнаружения, уклоняется от анализа безопасности и маскирует свой контент как легитимный. Hazy Hawk демонстрирует силу и техническую изощренность в своих уязвимых захватах, целясь в рекламном мошенничестве и ущербе для пользователей.
Индикаторы компрометации
Domains
- acceleratetomb.xyz
- acciona.com.au
- accomodateyours.com
- ademe.fr
- aha.org
- alabama.gov
- alaskaair.com
- angloamerican.com
- animalhumanesociety.org
- anker.com
- apperetive.xyz
- ariba.com
- arsenal.com
- auburn.edu
- bain.com
- barcelo.com
- barnardos.org.uk
- benesse.ne.jp
- berkeley.edu
- bluepoint.uk.com
- boomi.com
- bose.com
- bv.com
- byu.edu
- ca.gov
- cambertech.xyz
- campuslabs.com
- capgemini.com
- carrefour.fr
- carto.com
- cbre.com
- cccodes.cloud
- ccsu.edu
- cdc.gov
- chesta-korci-bro.blogspot.com
- chicagotribune.com
- christianpost.com
- civilservice.gov.uk
- claytargetsports.com
- cleanupharm.com
- cmsg.uk.com
- colorado.edu
- commscope.com
- communitycare.co.uk
- dankdigs.com
- deloitte.com
- digitdsk.org
- dignityhealth.org
- discoverhongkong.com
- dosomething.org
- education.vic.gov.au
- edygik.org
- emerson.com
- encryptalert.com
- eset.com
- extuilowelevid.com
- ey.com
- fabiansec.com
- fcagroup.com
- ferigs.xyz
- ferma.co.in
- fnsb.gov
- foxtel.com.au
- fuller.edu
- fwc.gov.au
- gavi.org
- ge.com
- go.com
- gouv.qc.ca
- gov.on.ca
- grapecity.com
- gsk.com
- gtrewe.co.in
- health.gov.au
- hktdc.com
- honeywell.com
- hotnewrumor.com
- humana.com
- iaea.org
- illinois.edu
- impliednauseous.com
- impliednauseous.xyz
- ine.mx
- intel.com
- investmentsandwealth.org
- jameshardie.eu
- jameshardie.it
- jidoscn.sbs
- jointcommission.org
- kcl.ac.uk
- kingcounty.gov
- kopde-tuk-kpre.blogspot.com
- leak.eneu.io
- lijit.com
- logitechg.com
- mgmresorts.com
- michelin.co.uk
- motoman.com
- movie.rssnews.media
- mstores.top
- mylio.com
- nhk.or.jp
- nitehushpro24.com
- northwestern.edu
- ntv.co.jp
- nyu.edu
- nzta.govt.nz
- ok-wwow.com
- ombudsman-services.org
- optum.com
- opukoj.com
- ottogroup.com
- oxinst.com
- panasonic.com
- panasonic.jp
- pass-jeux.gouv.fr
- pattan.net
- pearson.com
- phrma.org
- ping.com
- pokam-pok.blogspot.com
- ppg.com
- propertyportocolom.com
- pwc.com
- rakuten.com
- ranzcp.org
- risotoska.co.in
- rockwellautomation.com
- rssnews.media
- sahealth.sa.gov.au
- sartorius.com
- savingplaces.org
- scfederal.org
- scholastic.com
- sena.edu.co
- share.js.org
- sjsu.edu
- skoda-auto.cz
- slb.com
- spicymaturelovers.site
- stanford.edu
- stonybrook.edu
- sualiteregents.co.in
- tamu.edu
- ted.com
- thankstoyou.space
- thapar.edu
- trusthubmedia.com
- trxtraining.com
- trygghansa.se
- turnitin.com
- tvddt.online
- ucdavis.edu
- ucl.ac.uk
- uconn.edu
- uhc.com
- uib.no
- umass.edu
- uncc.edu
- unicef.org
- unilever.com
- upmc.com
- usc.edu
- usopen.com
- utexas.edu
- uxaya.sbs
- valley.com
- viralclipnow.xyz
- viralnow.xyz
- virginia.edu
- wearychallengeraise.com
- whilsttypewriter.com
- wholetale.org
- wiley.com
- wsu.edu
- zf.com
