Hijacking von Subdomains durch ungenutzte Cloud-Ressourcen ist ein Problem, mit dem wahrscheinlich jedes größere Unternehmen schon einmal konfrontiert war und diese Art von Angriffen ist auf dem Vormarsch. Seit Dezember 2024 hat Hazy Hawk erfolgreich Subdomains von namhaften Organisationen gekapert, darunter das U.S. Center for Disease Control (CDC), verschiedene Regierungsbehörden, Universitäten und internationale Unternehmen. Infoblox Threat Intel konnte einige dieser Aktivitäten einem Bedrohungsakteur mit dem Namen Hazy Hawk zuordnen. Dieser nutzt gekaperte Domains für groß angelegte Betrügereien und die Verbreitung von Malware. Das zeigt, wie wichtig es für Unternehmen ist, ihre DNS-Einträge und Cloud-Ressourcen sorgfältig zu verwalten.
Wer ist Hazy Hawk?
Hazy Hawk ist ein ausgeklügelter Threat Actor, der vergessene DNS-Einträge von nicht mehr genutzten Cloud-Diensten, wie etwa Amazon S3-Buckets oder Azure-Endpunkten, kapert. Durch die Übernahme der Kontrolle über diese nicht mehr genutzten Ressourcen ist Hazy Hawk in der Lage, bösartige URLs zu hosten, die ahnungslose Benutzer auf betrügerische Websites und zu Malware führen.
Die Identifizierung anfälliger DNS-Einträge in der Cloud ist wesentlich schwieriger als die von normalen unregistrierten Domains. Mit der zunehmenden Nutzung der Cloud ist die Zahl der übersehenen „Fire-and-Forget“-Ressourcen angestiegen. Dies gilt insbesondere für Unternehmen, die keine umfassende Lösung für das Management ihrer gesamten digitalen Ressourcen einsetzen.
Einzelheiten zu Hazy Hawk:
Ausgefeilte Techniken: Im Gegensatz zu herkömmlichen Domain-Hijackern zielt Hazy Hawk auf DNS-Fehlkonfigurationen in der Cloud ab und muss dazu Zugang zu kommerziellen passiven DNS-Diensten haben Weitreichende Auswirkungen: Die gekaperten Domains werden zur Verbreitung einer Vielzahl von Betrugsversuchen genutzt, darunter gefälschte Werbung und bösartige Push-Benachrichtigungen, von denen Millionen von Nutzern weltweit betroffen sind Wirtschaftlicher Schaden: Die Aktivitäten von Hazy Hawk tragen zu einem milliardenschweren Betrugsmarkt bei, der viele Menschen ihre Ersparnisse koste, insbesondere untere der älteren Bevölkerung. Verschleierung: Hazy Hawk verwendet mehrschichtige Verteidigungsmaßnahmen, um seine Operationen zu tarnen, einschließlich der Übernahme seriöser Domains, der Verschleierung von URLs und der Umleitung des Datenverkehrs über mehrere Domains.Schutzmaßnahmen
Um Bedrohungsakteure wie Hazy Hawk zu bekämpfen, sollten Unternehmen solide DNS-Verwaltungspraktiken einführen, einschließlich regelmäßiger Überprüfungen von DNS-Einträgen und sofortiger Entfernung von Einträgen, die mit nicht mehr verfügbaren Cloud-Diensten verbunden sind.
Kommentare