Ataque de Hazy Hawk detectado visando ativos de nuvem abandonados desde 2023

A Infoblox revela o Hazy Hawk, uma nova ameaça que explora recursos de nuvem abandonados (S3, Azure) e lacunas de DNS desde dezembro de 2023. Saiba mais sobre suas táticas e como proteger sua organização e seus usuários.

Pesquisadores de segurança cibernética da Infoblox Threat Intelligence divulgaram descobertas críticas sobre uma ameaça recentemente identificada, chamada Hazy Hawk, que tem sequestrado ativamente recursos de nuvem esquecidos desde pelo menos dezembro de 2023.

Em seu relatório, compartilhado exclusivamente com o Hackread.com, os pesquisadores notaram que esse grupo avançado é conhecido por suas táticas de DNS e explora lacunas nos registros do Sistema de Nomes de Domínio (DNS) para redirecionar usuários desavisados ​​da internet a sites fraudulentos e malware.

Essa revelação ocorre em um momento em que a Comissão Federal de Comércio (FTC) relata um aumento significativo de 25% nas perdas relacionadas a golpes a partir de 2023, totalizando impressionantes US$ 12,5 bilhões.

A Infoblox detectou as atividades do Hazy Hawk pela primeira vez em fevereiro de 2025, quando o grupo assumiu o controle de subdomínios pertencentes aos Centros de Controle e Prevenção de Doenças (CDC) dos EUA. O jornalista especializado em segurança cibernética Brian Krebs foi o primeiro a notar atividades suspeitas no domínio do CDC.

Investigações posteriores revelaram que agências governamentais globais, incluindo alabama.gov e health.gov.au, grandes universidades como berkeley.edu e ucl.ac.uk , e empresas internacionais como Deloitte.com e PwC.com , também foram alvos.

O método do Hazy Hawk envolve encontrar registros DNS pendentes, que são registros CNAME que apontam para recursos de nuvem abandonados, como buckets do Amazon S3, endpoints do Azure, Akamai, Cloudflare CDN e GitHub. Eles registram esses recursos, assumem o controle e os utilizam para hospedar inúmeras URLs maliciosas. A Infoblox apelidou o grupo de Hazy Hawk devido aos seus métodos incomuns de localização e sequestro de recursos de nuvem específicos.

O Hazy Hawk emprega diversas táticas para enganar as vítimas, incluindo notificações falsas no navegador e aplicativos fraudulentos, usando ofuscação de URL para ocultar destinos de links e reutilizando código de sites legítimos para fazer com que suas páginas iniciais pareçam confiáveis. Eles também alteram URLs de buckets do AWS S3 ou redirecionam para o site da Universidade de Bristol.

Quando um usuário clica em um link malicioso, ele é encaminhado por vários sites de redirecionamento, como Blogspot ou encurtadores de links, como TinyURL, Bitly e sistemas de distribuição de tráfego (TDSs), antes de chegar a viralclipnow.xyz .

Esses sistemas são projetados para maximizar os lucros dos golpistas e dificultar que especialistas em segurança rastreiem ataques por meio de alterações dinâmicas no conteúdo, levando as vítimas a golpes como fraude de suporte técnico ou esquemas de vale-presente.

A pesquisa revela que as notificações push são um componente essencial dos golpes, onde o agente da ameaça pode receber de 70% a 90% da receita do afiliado que obteve a aprovação da vítima, com serviços como o RollerAds, permitindo a segmentação repetida das vítimas.

Para evitar tais sequestros, as organizações devem usar um DNS bem gerenciado, incluindo a remoção de registros CNAME do DNS quando os recursos da nuvem forem desativados. Os usuários finais podem se proteger com soluções de DNS de proteção que bloqueiam o acesso a domínios maliciosos, mesmo quando os agentes de ameaças alteram os nomes dos sites, e devem ter cuidado com as solicitações de notificação de sites.