Bij vrijwel iedere grote organisatie is weleens een subdomein gekaapt via verlaten cloud resources (die bijvoorbeeld ooit nodig waren voor een campagne, maar daarna niet werden verwijderd). Deze vorm van misbruik komt steeds vaker voor.
Onderzoek van Infoblox Threat Intel heeft aangetoond dat een specifieke groep cybercriminelen, die de naam Hazy Hawk heeft gekregen, hier actief gebruik van maakt. Zij nemen verlaten domeinen over en gebruiken die vervolgens om grootschalige oplichtingspraktijken uit te voeren en schadelijke software te verspreiden. Deze ontdekking benadrukt hoe essentieel het is dat organisaties hun DNS-records en clouddiensten zorgvuldig en voortdurend beheren.
Wat is Hazy Hawk?
Hazy Hawk is een geavanceerde criminele groepering die DNS-records van beëindigde cloud resources overneemt, zoals Amazon S3 buckets en Azure endpoints. Door deze achtergelaten digitale middelen te kapen, kan Hazy Hawk schadelijke links hosten die nietsvermoedende gebruikers doorsluizen naar websites met scams en malware.
Het identificeren van kwetsbare DNS-records in de cloud is aanzienlijk lastiger dan het opsporen van gewone, niet-geregistreerde domeinen. De sterke toename van cloudgebruik heeft de afgelopen jaren geleid tot een explosieve stijging in het aantal achtergelaten en ongecontroleerde (‘fire and forget’) resources. Vooral organisaties zonder volledige zichtbaarheid en beheeroplossingen voor hun digitale infrastructuur lopen risico.
Sinds december 2024 is het Hazy Hawk gelukt om subdomeinen over te nemen van gerenommeerde organisaties, waaronder het Amerikaanse Center for Disease Control (CDC), diverse overheidsinstellingen, universiteiten en internationale bedrijven.
Wat zijn de kenmerken van Hazy Hawk?
– Geavanceerde technieken: In tegenstelling tot traditionele domeinkapers, richt Hazy Hawk zich specifiek op fouten in DNS-configuraties binnen de cloud. Hiervoor maken ze waarschijnlijk gebruik van commerciële diensten die passieve DNS-gegevens verzamelen.
Wereldwijde impact: De overgenomen domeinen worden ingezet voor verschillende vormen van oplichting, zoals nepadvertenties en kwaadaardige pushmeldingen. Daarmee worden wereldwijd miljoenen gebruikers getroffen.
– Forse economische schade: De oplichtingspraktijken van Hazy Hawk zijn onderdeel van de miljardenmarkt voor online fraude. Met name ouderen in de Verenigde Staten lijden hierdoor aanzienlijke financiële verliezen.
– Lastig te ontdekken: Hazy Hawk verbergt zijn activiteiten met gelaagde verdedigingsmechanismen, waaronder het kapen van betrouwbare domeinen, het verhullen (obfuscation) van URL’s en het omleiden van verkeer via meerdere domeinen.
Hoe bescherm je je tegen Hazy Hawk?
Om zich te beschermen tegen dreigingen zoals Hazy Hawk, doen organisaties er goed aan om hun DNS-beheer op orde te hebben. Dit houdt in: regelmatig controleren van DNS records en het direct verwijderen van verwijzingen naar gestopte clouddiensten. Daarnaast is het belangrijk om eindgebruikers te waarschuwen: klik niet zomaar op meldingen van onbekende websites en weiger pushmeldingen die je niet vertrouwt.
Meer lezen over Hazy Hawk? Lees dan het volledige onderzoeksblog van Infoblox Threat Intel.
Meer lezen
