Специалисты компании Infoblox обнаружили масштабную кампанию хакерской группировки Hazy Hawk, которая использует уязвимости в DNS-инфраструктуре для захвата поддоменов авторитетных организаций. Злоумышленники эксплуатируют забытые CNAME-записи, указывающие на неактивные облачные сервисы, получая контроль над доменами правительственных учреждений, университетов и крупных корпораций.
Механизм атаки: эксплуатация «мертвых» CNAME-записей
Хакеры применяют методику пассивного сканирования DNS для поиска записей CNAME, ссылающихся на заброшенные облачные эндпоинты. После обнаружения такой записи злоумышленники регистрируют новый облачный ресурс с идентичным именем, что позволяет им перехватить контроль над поддоменом. Данная техника особенно опасна, так как использует легитимные механизмы DNS-инфраструктуры.
Масштаб компрометации: список атакованных организаций
Среди скомпрометированных доменов оказались ресурсы крупнейших международных организаций, включая Центр по контролю заболеваний США (cdc.gov), UNICEF (unicef.org), и Министерство здравоохранения Австралии (health.gov.au). Также атакам подверглись образовательные учреждения, такие как Калифорнийский университет в Беркли и Нью-Йоркский университет, и транснациональные корпорации, включая Honeywell, Michelin и Unilever.
Вредоносная активность и монетизация
После получения контроля над поддоменами, Hazy Hawk создает сотни вредоносных URL-адресов, которые используются для различных типов мошенничества. Злоумышленники разворачивают сложную инфраструктуру перенаправления трафика (TDS), профилируя пользователей по различным параметрам: тип устройства, географическое положение, использование VPN.
Основные виды мошеннических схем
Захваченные домены используются для распространения:
- Фальшивых уведомлений технической поддержки
- Поддельных антивирусных предупреждений
- Фишинговых страниц
- Мошеннической рекламы через push-уведомления браузера
Эксперты отмечают, что подобная тактика ранее применялась группировкой Savvy Seahorse, которая использовала захваченные домены для перенаправления пользователей на фальшивые инвестиционные платформы. Для защиты от подобных атак организациям рекомендуется регулярно аудировать свои DNS-записи, своевременно удалять неиспользуемые CNAME-записи и внедрять строгий мониторинг DNS-инфраструктуры.
