Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Анализ атак Hazy Hawk: опасности уязвимых DNS-записей и фишинга

3 мин
Недавнее расследование, инициированное известным экспертом по кибербезопасности Брайаном Кребсом, выявило опасную активность хакерской группы Hazy Hawk, связанной с использованием уязвимостей в системе DNS и облачной инфраструктуре для проведения мошенничества и распространения вредоносного ПО. Центр контроля и профилактики заболеваний США (CDC) оказался в центре инцидента, когда на их домене cdc.gov были обнаружены неприемлемые и потенциально вредоносные URL. Анализ инцидента показал, что атака не была связана с традиционным перехватом DNS, а происходила через так называемые оборотные записи CNAME (orphaned CNAME records). В частности, поддомен ahbazuretestapp.cdc.gov содержал устаревшую запись CNAME, которая вела на облачный сервис Azure. Оставленный без присмотра, этот ресурс был использован злоумышленниками, которые создали учетную запись Azure с идентичным именем и получили полный контроль над поддоменом. Хакеры из Hazy Hawk систематически эксплуатируют подобные уязвимости, перехв
Оглавление

Недавнее расследование, инициированное известным экспертом по кибербезопасности Брайаном Кребсом, выявило опасную активность хакерской группы Hazy Hawk, связанной с использованием уязвимостей в системе DNS и облачной инфраструктуре для проведения мошенничества и распространения вредоносного ПО. Центр контроля и профилактики заболеваний США (CDC) оказался в центре инцидента, когда на их домене cdc.gov были обнаружены неприемлемые и потенциально вредоносные URL.

Суть проблемы: уязвимость в поддоменах и DNS-записях

Анализ инцидента показал, что атака не была связана с традиционным перехватом DNS, а происходила через так называемые оборотные записи CNAME (orphaned CNAME records). В частности, поддомен ahbazuretestapp.cdc.gov содержал устаревшую запись CNAME, которая вела на облачный сервис Azure. Оставленный без присмотра, этот ресурс был использован злоумышленниками, которые создали учетную запись Azure с идентичным именем и получили полный контроль над поддоменом.

Хакеры из Hazy Hawk систематически эксплуатируют подобные уязвимости, перехватывая трафик с незарегистрированных поддоменов и перенаправляя пользователей на свои контролируемые ресурсы. В отличие от традиционного обнаружения DNS-атак через ответы NXDOMAIN, выявление таких инцидентов в облачных средах осложняется разницей в ответах от различных провайдеров.

Методы работы Hazy Hawk

  • Использование оборванных CNAME-записей для захвата поддоменов.
  • Клонирование шаблонов авторитетных веб-сайтов для создания доверия у пользователей.
  • Маршрутизация трафика через системы Traffic Distribution Systems (TDS), что позволяет усложнить анализ маршрутов.
  • Распространение мошеннических страниц и фишинговых площадок.
  • Применение рекламных технологий для маскировки вредоносных URL, что снижает вероятность выявления их случайными пользователями.
  • Многоступенчатые перенаправления, затрудняющие отслеживание конечной точки перехода.

Данные методы позволяют группе не только злоупотреблять доверием к легитимным организациям и учреждениям, но и добиваться значительного ущерба, особенно среди уязвимых слоев населения, включая пожилых людей. Рост количества сообщений о мошенничестве, направленном против этой категории, напрямую коррелирует с активностью Hazy Hawk.

Влияние на организации и рекомендации по защите

Отмечено, что операции Hazy Hawk охватывают широкий спектр крупных игроков: от государственных учреждений и систем здравоохранения до университетов и крупных корпораций. Проблема особенно актуальна для многонациональных организаций, где администрирование DNS и облачных сервисов может быть сложно централизовано.

Управляющим организациям рекомендуется:

  • Регулярно проверять и контролировать DNS-записи, особенно CNAME, на предмет устаревших или неиспользуемых ссылок.
  • Внедрять автоматизированные уведомления при удалении или изменении DNS-записей.
  • Отслеживать активность связанных с DNS ресурсов и своевременно реагировать на подозрительные изменения.

Для конечных пользователей важна осведомленность и применение защитных решений, таких как DNS-безопасность и инструменты блокировки нежелательных перенаправлений. В частности, знание о рисках, связанных с разрешением уведомлений от неизвестных веб-сайтов, позволяет предотвратить переходы на вредоносные ресурсы.

Заключение

Пример Hazy Hawk демонстрирует, насколько критично и важно тщательное управление DNS и облачными доменами для предотвращения сложных киберугроз. Их атаки основаны на манипулировании законами онлайн-экосистемы и использовании легитимных ресурсов в корыстных целях, что подчеркивает необходимость постоянной бдительности и комплексного подхода к безопасности как на уровне организаций, так и конечных пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Анализ атак Hazy Hawk: опасности уязвимых DNS-записей и фишинга".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.