Een dreigingsacteur bekend als Wazige havik is waargenomen om verlaten cloudbronnen van spraakmakende organisaties te kapen, waaronder Amazon S3-emmers en Microsoft Azure Endpoints, door gebruik te maken van misconfiguraties in de Domain Name System (DNS) -records.
De gekaapte domeinen worden vervolgens gebruikt om URL’s te hosten die gebruikers naar oplichting en malware leiden via verkeersdistributiesystemen (TDSE’s), volgens InfoBlox. Sommige van de andere bronnen die door de dreigingsacteur worden gebruikt, zijn onder meer die georganiseerd op Akamai, Bunny CDN, CloudFlare CDN, GitHub en Netlify.
Het DNS-bedreigingsinlichtingenbedrijf zei dat het voor het eerst de dreigingsacteur ontdekte nadat het controle had gekregen over verschillende subdomeinen die in februari 2025 waren geassocieerd met het US Centre for Disease Control (CDC).
Sindsdien is vastgesteld dat andere overheidsinstanties over de hele wereld, prominente universiteiten en internationale bedrijven zoals Deloitte, PricewaterhouseCoopers en Ernst & Young sinds minstens december 2023 het slachtoffer zijn van dezelfde dreigingsacteur.
“Misschien wel het meest opmerkelijke aan wazige havik is dat deze moeilijk te ontdekken, kwetsbare domeinen met banden met gewaardeerde organisaties niet worden gebruikt voor spionage of ‘highbrow’ cybercrime,” zei Infeblox’s Jacques Portal en Renée Burton in een rapport gedeeld met het hacker-nieuws.
“In plaats daarvan voeden ze zich in de louche onderwereld van ADTECH, waardoor slachtoffers naar een breed scala van oplichting en nep -toepassingen kloppen, en gebruikmeldingen gebruiken om processen te activeren die processen zullen hebben die een aanhoudende impact hebben.”
Wat de operaties van Hazy Hawk opmerkelijk maakt, is het kaperen van vertrouwde en gerenommeerde domeinen die tot legitieme organisaties behoren, waardoor hun geloofwaardigheid in zoekresultaten wordt verhoogd wanneer ze worden gebruikt om kwaadaardige en spam -inhoud te dienen. Maar nog meer zorgwekkend, de aanpak stelt de dreigingsacteurs in staat om detectie te omzeilen.
De onderbouwing van de operatie is het vermogen van de aanvallers om de controle over verlaten domeinen te grijpen met bungelende DNS CNAME -records, een techniek die eerder in begin 2024 werd blootgesteld door Guardio als benut door slechte acteurs voor spamproliferatie en klikkende geld. Het enige dat een dreigingsacteur hoeft te doen, is de ontbrekende bron te registreren om het domein te kapen.
Hazy Hawk gaat nog een stap verder door verlaten cloudbronnen te vinden en ze vervolgens te bevelen voor kwaadaardige doeleinden. In sommige gevallen gebruikt de dreigingsacteur URL -omleidingstechnieken om te verbergen welke cloudbron is gekaapt.
“We gebruiken de naam wazige havik voor deze acteur vanwege hoe ze cloudbronnen vinden en kapen die bungelende DNS -CNAME -records hebben en ze vervolgens gebruiken in kwaadaardige URL -distributie,” zei Infeblox. “Het is mogelijk dat het domeinkapingcomponent wordt verstrekt als een service en wordt gebruikt door een groep acteurs.”
De aanvalsketens omvatten vaak het klonen van de inhoud van legitieme sites voor hun eerste site georganiseerd op de gekaapte domeinen, terwijl ze slachtoffers lokken om hen te bezoeken met pornografische of illegale inhoud. De bezoekers van de site worden vervolgens via een TDS geleid om te bepalen waar ze vervolgens landen.
“Hazy Hawk is een van de tientallen dreigingsacteurs die we volgen in de wereld van de advertentie,” zei het bedrijf. “Dreigingsactoren die behoren tot aangesloten advertentieprogramma’s drijven gebruikers in op maat gemaakte kwaadaardige inhoud en worden gestimuleerd om verzoeken op te nemen om pushmeldingen van ‘websites’ langs het omleidingspad toe te staan.”
Daarbij is het idee om het apparaat van een slachtoffer te overspoelen met pushmeldingen en een eindeloze stortvloed van kwaadaardige inhoud te leveren, waarbij elke melding leidt tot verschillende oplichtingen, lageware en nep -enquêtes, en vergezeld van verzoeken om meer pushmeldingen mogelijk te maken.
Om te voorkomen en te beschermen tegen wazige Hawk -activiteiten, worden domeinbezitters aanbevolen om een DNS CNAME -record te verwijderen zodra een bron is afgesloten. Eindgebruikers daarentegen worden geadviseerd om meldingsverzoeken te weigeren van websites die ze niet kennen.
“Terwijl operators zoals Hazy Hawk verantwoordelijk zijn voor de eerste kunstaas, wordt de gebruiker die klikt geleid tot een labyrint van schetsmatige en regelrechte kwaadwillende adtech. Het feit dat wazige Hawk aanzienlijke inspanningen levert om kwetsbare domeinen te vinden en ze vervolgens te gebruiken voor SCAM -operaties dat deze advertentie -affiliaatprogramma’s succesvol zijn om goed te betalen,” zei InfoLox.
