2023'ten Beri Terkedilmiş Bulut Varlıklarını Hedef Alan Hazy Hawk Saldırısı Görüldü

Infoblox, Aralık 2023'ten bu yana terk edilmiş bulut kaynaklarını (S3, Azure) ve DNS açıklarını istismar eden yeni bir tehdit olan Hazy Hawk'ı ortaya çıkardı. Taktikleri ve kuruluşunuzu ve kullanıcılarınızı nasıl koruyacağınız hakkında bilgi edinin.

Infoblox Threat Intelligence'daki siber güvenlik araştırmacıları, en az Aralık 2023'ten bu yana unutulmuş bulut kaynaklarını aktif olarak ele geçiren Hazy Hawk adı verilen yakın zamanda tanımlanan bir tehdit hakkında kritik bulgular yayınladı.

Hackread.com ile özel olarak paylaşılan raporda araştırmacılar, bu ileri düzey grubun DNS konusunda uzman taktikleriyle tanındığını ve Alan Adı Sistemi (DNS) kayıtlarındaki boşluklardan yararlanarak şüphesiz internet kullanıcılarını sahte web sitelerine ve kötü amaçlı yazılımlara yönlendirdiğini belirtti.

Bu açıklama, Federal Ticaret Komisyonu'nun (FTC) 2023'ten itibaren dolandırıcılıkla ilgili kayıplarda %25'lik önemli bir artış olduğunu ve toplamda 12,5 milyar dolara ulaştığını bildirmesinin ardından geldi.

Infoblox, Hazy Hawk'ın faaliyetlerini ilk olarak Şubat 2025'te, grubun ABD Hastalık Kontrol ve Önleme Merkezlerine (CDC) ait alt alan adlarının kontrolünü başarıyla ele geçirmesiyle tespit etti. Siber güvenlik gazetecisi Brian Krebs, CDC'nin alan adında şüpheli bir faaliyet fark eden ilk kişi oldu.

Yapılan detaylı araştırmalar, alabama.gov ve health.gov.au gibi küresel hükümet kuruluşlarının, berkeley.edu ve ucl.ac.uk gibi büyük üniversitelerin ve Deloitte.com ve PwC.com gibi uluslararası şirketlerin de hedef alındığını ortaya koydu.

Hazy Hawk'ın yöntemi, Amazon S3 kovaları, Azure uç noktaları, Akamai, Cloudflare CDN ve GitHub gibi terk edilmiş bulut kaynaklarına işaret eden CNAME kayıtları olan sallantılı DNS kayıtlarını bulmayı içerir. Bu kaynakları kaydederler, kontrolü ele geçirirler ve bunları çok sayıda kötü amaçlı URL'yi barındırmak için kullanırlar. Infoblox, belirli bulut kaynaklarını bulma ve ele geçirme konusundaki alışılmadık yöntemleri nedeniyle gruba Hazy Hawk adını verdi.

Hazy Hawk, kurbanları aldatmak için sahte tarayıcı bildirimleri ve hileli uygulamalar, bağlantı hedeflerini gizlemek için URL gizlemeyi kullanma ve ilk sayfalarının güvenilir görünmesini sağlamak için meşru web sitelerinden kod yeniden kullanma gibi çeşitli taktikler kullanır. Ayrıca AWS S3 kova URL'lerini değiştirir veya Bristol Üniversitesi web sitesine yönlendirir.

Bir kullanıcı kötü amaçlı bir bağlantıya tıkladığında, viralclipnow.xyz adresine ulaşmadan önce Blogspot gibi birden fazla yönlendirme sitesi veya TinyURL, Bitly ve trafik dağıtım sistemleri (TDS'ler) gibi bağlantı kısaltıcıları üzerinden yönlendirilir.

Bu sistemler, dolandırıcıların kârını en üst düzeye çıkarmak ve güvenlik uzmanlarının saldırıları izlemesini zorlaştırmak için tasarlanmıştır; içerikler dinamik olarak değiştiğinden, kurbanlar teknik destek dolandırıcılığı veya hediye kartı dolandırıcılığı gibi dolandırıcılıklara yönlendirilir.

Araştırma, dolandırıcılıkların temel bileşenlerinden birinin anlık bildirimler olduğunu, tehdit aktörünün, kurbanın onayını alan iştirakçiden yüzde 70-90 oranında gelir payı alabildiği, RollerAds gibi hizmetlerin ise tekrarlanan kurban hedeflemesine olanak sağladığını ortaya koyuyor.

Bu tür ele geçirmeleri önlemek için kuruluşlar, bulut kaynakları emekliye ayrıldığında DNS CNAME kayıtlarını kaldırmak da dahil olmak üzere iyi yönetilen DNS kullanmalıdır. Son kullanıcılar, tehdit aktörleri web sitesi adlarını değiştirdiğinde bile kötü amaçlı etki alanlarına erişimi engelleyen koruyucu DNS çözümleriyle kendilerini koruyabilir ve web sitesi bildirim istekleri konusunda dikkatli olabilir