Дослідники з компанії Infoblox виявили масштабну кібератаку, в ході якої хакерське угруповання Hazy Hawk експлуатує вразливості DNS-інфраструктури для захоплення поддоменів впливових організацій. Зловмисники використовують недоліки в управлінні DNS-записами, зокрема “мертві” CNAME-посилання на неактивні хмарні сервіси, що дозволяє їм отримати несанкціонований контроль над доменами державних установ та великих компаній.
Технічні аспекти атаки: експлуатація застарілих DNS-записів
Хакери застосовують методологію пасивного DNS-сканування для виявлення CNAME-записів, які вказують на занедбані хмарні ендпоінти. Після ідентифікації таких записів зловмисники реєструють новий хмарний ресурс з ідентичним ім’ям, що дозволяє їм перехопити керування поддоменом. Особлива небезпека цієї техніки полягає у використанні легітимних механізмів DNS-інфраструктури, що ускладнює виявлення атаки.
Масштаб компрометації та постраждалі організації
Серед скомпрометованих ресурсів опинились домени критично важливих міжнародних організацій, включаючи Центр контролю захворювань США (cdc.gov), UNICEF (unicef.org) та Міністерство охорони здоров’я Австралії (health.gov.au). Атаки також торкнулися провідних освітніх закладів та транснаціональних корпорацій, зокрема Honeywell, Michelin та Unilever.
Механізми монетизації та шкідлива активність
Після захоплення поддоменів, Hazy Hawk розгортає складну інфраструктуру перенаправлення трафіку (TDS) для профілювання користувачів за різними параметрами. Зловмисники створюють сотні шкідливих URL-адрес для реалізації різноманітних схем шахрайства.
Основні вектори атак та шахрайські схеми
- Розповсюдження фальшивих технічних повідомлень
- Створення підроблених антивірусних попереджень
- Розміщення фішингових сторінок
- Поширення шахрайської реклами через браузерні push-повідомлення
Для захисту від подібних атак фахівці з кібербезпеки рекомендують організаціям впровадити комплексний підхід до управління DNS-інфраструктурою. Це включає регулярний аудит DNS-записів, своєчасне видалення неактивних CNAME-посилань та впровадження систем моніторингу DNS-активності. Особливу увагу слід приділити автоматизованому виявленню та валідації змін у DNS-конфігурації, що допоможе запобігти несанкціонованому захопленню доменів.