Анализ атак Hazy Hawk: опасности уязвимых DNS-записей и фишинга

Недавнее расследование, инициированное известным экспертом по кибербезопасности Брайаном Кребсом, выявило опасную активность хакерской группы Hazy Hawk, связанной с использованием уязвимостей в системе DNS и облачной инфраструктуре для проведения мошенничества и распространения вредоносного ПО. Центр контроля и профилактики заболеваний США (CDC) оказался в центре инцидента, когда на их домене cdc.gov были обнаружены неприемлемые и потенциально вредоносные URL.

Суть проблемы: уязвимость в поддоменах и DNS-записях

Анализ инцидента показал, что атака не была связана с традиционным перехватом DNS, а происходила через так называемые оборотные записи CNAME (orphaned CNAME records). В частности, поддомен ahbazuretestapp.cdc.gov содержал устаревшую запись CNAME, которая вела на облачный сервис Azure. Оставленный без присмотра, этот ресурс был использован злоумышленниками, которые создали учетную запись Azure с идентичным именем и получили полный контроль над поддоменом.

Хакеры из Hazy Hawk систематически эксплуатируют подобные уязвимости, перехватывая трафик с незарегистрированных поддоменов и перенаправляя пользователей на свои контролируемые ресурсы. В отличие от традиционного обнаружения DNS-атак через ответы NXDOMAIN, выявление таких инцидентов в облачных средах осложняется разницей в ответах от различных провайдеров.

Методы работы Hazy Hawk

• Использование оборванных CNAME-записей для захвата поддоменов.
• Клонирование шаблонов авторитетных веб-сайтов для создания доверия у пользователей.
• Маршрутизация трафика через системы Traffic Distribution Systems (TDS), что позволяет усложнить анализ маршрутов.
• Распространение мошеннических страниц и фишинговых площадок.
• Применение рекламных технологий для маскировки вредоносных URL, что снижает вероятность выявления их случайными пользователями.
• Многоступенчатые перенаправления, затрудняющие отслеживание конечной точки перехода.

Данные методы позволяют группе не только злоупотреблять доверием к легитимным организациям и учреждениям, но и добиваться значительного ущерба, особенно среди уязвимых слоев населения, включая пожилых людей. Рост количества сообщений о мошенничестве, направленном против этой категории, напрямую коррелирует с активностью Hazy Hawk.

Влияние на организации и рекомендации по защите

Отмечено, что операции Hazy Hawk охватывают широкий спектр крупных игроков: от государственных учреждений и систем здравоохранения до университетов и крупных корпораций. Проблема особенно актуальна для многонациональных организаций, где администрирование DNS и облачных сервисов может быть сложно централизовано.

Управляющим организациям рекомендуется:

• Регулярно проверять и контролировать DNS-записи, особенно CNAME, на предмет устаревших или неиспользуемых ссылок.
• Внедрять автоматизированные уведомления при удалении или изменении DNS-записей.
• Отслеживать активность связанных с DNS ресурсов и своевременно реагировать на подозрительные изменения.

Для конечных пользователей важна осведомленность и применение защитных решений, таких как DNS-безопасность и инструменты блокировки нежелательных перенаправлений. В частности, знание о рисках, связанных с разрешением уведомлений от неизвестных веб-сайтов, позволяет предотвратить переходы на вредоносные ресурсы.

Заключение

Пример Hazy Hawk демонстрирует, насколько критично и важно тщательное управление DNS и облачными доменами для предотвращения сложных киберугроз. Их атаки основаны на манипулировании законами онлайн-экосистемы и использовании легитимных ресурсов в корыстных целях, что подчеркивает необходимость постоянной бдительности и комплексного подхода к безопасности как на уровне организаций, так и конечных пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.