O sequestro de subdomínios por meio de recursos abandonados da nuvem é um problema que provavelmente todas as grandes organizações já enfrentaram, e esses ataques estão em ascensão. A Infoblox Threat Intel rastreou parte dessa atividade até um hacker, chamado Hazy Hawk, que usa domínios sequestrados para realizar golpes em larga escala e distribuir malware. Esta descoberta destaca a necessidade crítica de as organizações gerenciarem seus registros de DNS e recursos da nuvem com vigilância.
O que é Hazy Hawk?
Hazy Hawk é um agente sofisticado que sequestra registros DNS esquecidos de serviços de nuvem descontinuados, como buckets do Amazon S3 e endpoints do Azure. Ao assumir o controle desses recursos abandonados, o Hazy Hawk consegue hospedar URLs maliciosos que levam usuários desavisados a golpes e malware.
Identificar registros de DNS vulneráveis na nuvem é significativamente mais desafiador do que identificar domínios comuns não registrados. À medida que o uso da nuvem cresceu, o número de recursos abandonados do tipo “lançar e esquecer” disparou. Especialmente para as empresas que não utilizam uma solução abrangente de visibilidade e gestão para controlar todos os seus patrimônios digitais.
O Hazy Hawk sequestrou com sucesso subdomínios de organizações respeitáveis, incluindo o Centro de Controle de Doenças dos EUA (CDC), várias agências governamentais, universidades e empresas internacionais desde dezembro de 2024.
Detalhes do Hazy Hawk:
- Técnicas sofisticadas: ao contrário dos sequestradores de domínio tradicionais, o Hazy Hawk tem como alvo as configurações incorretas de DNS na nuvem e deve ter acesso a serviços comerciais de DNS passivo para fazer isso;
- Impacto de amplo alcance: os domínios sequestrados são usados para distribuir uma variedade de golpes, incluindo anúncios falsos e notificações push maliciosas, afetando milhões de usuários em todo o mundo;
- Consequências econômicas: os golpes facilitados pela Hazy Hawk contribuem para o mercado de fraudes multibilionário, com perdas financeiras significativas reportadas, especialmente entre a população idosa nos Estados Unidos;
- Ofuscação: Hazy Hawk usa defesas em camadas para proteger suas operações, incluindo sequestro de domínios confiáveis, ofuscação de URLs e redirecionamento de tráfego por meio de vários domínios.
Medidas de Proteção
Para prevenir agentes de ameaças como a Hazy Hawk, as organizações devem implementar práticas robustas de gerenciamento de DNS, incluindo auditorias regulares de registros de DNS e a remoção imediata de registros associados a serviços de nuvem descontinuados. Além disso, os usuários devem ser orientados a negar solicitações de notificações push de sites desconhecidos para evitar serem vítimas de golpes. Para mais informações sobre a Hazy Hawk, leia o blog da pesquisa completa aqui.
