Заброшенные облака «ожили» и начали воровать трафик — а вы точно знаете, куда ведёт ваш домен?
NewsMakerHazy Hawk буквально сделал бизнес на забывчивости сетевых специалистов.
Группа злоумышленников, получившая название Hazy Hawk, взялась за массовый захват заброшенных облачных ресурсов ведущих организаций, включая Amazon S3 и Microsoft Azure, эксплуатируя слабости в конфигурации DNS-записей. Под их контроль попали также площадки на Akamai, Cloudflare CDN, GitHub, Netlify и других популярных сервисах. Как выяснили специалисты Infoblox, домены и субдомены, ранее принадлежавшие известным структурам, стали точками входа в цепочки мошенничества и вредоносных кампаний.
Деятельность этой группы была впервые зафиксирована в феврале 2025 года, когда Hazy Hawk завладел несколькими субдоменами, связанными с Центром по контролю и профилактике заболеваний США (CDC). Однако анализ показал, что кампания началась ещё в декабре 2023 года и затронула не только американские правительственные агентства, но и международные корпорации, такие как Deloitte, PwC и Ernst & Young, а также ведущие университеты.
Сценарий атак строится вокруг одного ключевого приёма — перехвата DNS-записей CNAME, указывающих на несуществующие или удалённые ресурсы. Достаточно зарегистрировать отсутствующий компонент — и контроль над доменом в руках злоумышленников. Такая тактика позволяет подменить содержимое сайтов на мошеннические страницы и в то же время сохранить высокий уровень доверия поисковых систем и браузеров за счёт изначально уважаемого происхождения домена.
Инфраструктура, построенная Hazy Hawk, замаскирована под банальные редиректы или легитимные сайты, иногда с клонированием контента оригинальных ресурсов. Однако конечная цель — вовлечь пользователя в цепочку перенаправлений через системы распределения трафика (TDS), ведущих к сайтам с порнографией, пиратским ПО и фейковыми опросами. Особое внимание уделяется активации push-уведомлений, которые позже используются для бесконечной доставки вредоносного контента.
Интересно, что, несмотря на использование инфраструктуры, напоминающей шпионские операции, действия Hazy Hawk нацелены не на разведку или кибер шпионаж , а на участие в теневом рынке рекламы и партнёрских программ. За каждое взаимодействие с рекламным материалом афилированные участники получают вознаграждение, что и делает такую схему прибыльной. По словам команды Infoblox, захват доменов может быть отдельной услугой, предоставляемой другим группам, участвующим в распространении вредоносной рекламы.
Специалисты подчёркивают важность своевременного удаления CNAME-записей после закрытия облачных ресурсов. В противном случае даже крупные организации рискуют превратиться в незаметный канал доставки вредоносных сообщений и инструмент манипуляции пользовательским трафиком. А для обычных пользователей рекомендация проста — никогда не соглашаться на получение push-уведомлений с незнакомых сайтов, чтобы не попасть в ловушку навязчивого и опасного контента.
Hazy Hawk наглядно показывает, насколько уязвимыми остаются забытые домены, даже если они когда-то принадлежали ведущим организациям. Пока рекламные схемы в даркнете остаются прибыльными, атаки подобного рода будут только набирать обороты.
Группа злоумышленников, получившая название Hazy Hawk, взялась за массовый захват заброшенных облачных ресурсов ведущих организаций, включая Amazon S3 и Microsoft Azure, эксплуатируя слабости в конфигурации DNS-записей. Под их контроль попали также площадки на Akamai, Cloudflare CDN, GitHub, Netlify и других популярных сервисах. Как выяснили специалисты Infoblox, домены и субдомены, ранее принадлежавшие известным структурам, стали точками входа в цепочки мошенничества и вредоносных кампаний.
Деятельность этой группы была впервые зафиксирована в феврале 2025 года, когда Hazy Hawk завладел несколькими субдоменами, связанными с Центром по контролю и профилактике заболеваний США (CDC). Однако анализ показал, что кампания началась ещё в декабре 2023 года и затронула не только американские правительственные агентства, но и международные корпорации, такие как Deloitte, PwC и Ernst & Young, а также ведущие университеты.
Сценарий атак строится вокруг одного ключевого приёма — перехвата DNS-записей CNAME, указывающих на несуществующие или удалённые ресурсы. Достаточно зарегистрировать отсутствующий компонент — и контроль над доменом в руках злоумышленников. Такая тактика позволяет подменить содержимое сайтов на мошеннические страницы и в то же время сохранить высокий уровень доверия поисковых систем и браузеров за счёт изначально уважаемого происхождения домена.
Инфраструктура, построенная Hazy Hawk, замаскирована под банальные редиректы или легитимные сайты, иногда с клонированием контента оригинальных ресурсов. Однако конечная цель — вовлечь пользователя в цепочку перенаправлений через системы распределения трафика (TDS), ведущих к сайтам с порнографией, пиратским ПО и фейковыми опросами. Особое внимание уделяется активации push-уведомлений, которые позже используются для бесконечной доставки вредоносного контента.
Интересно, что, несмотря на использование инфраструктуры, напоминающей шпионские операции, действия Hazy Hawk нацелены не на разведку или кибер шпионаж , а на участие в теневом рынке рекламы и партнёрских программ. За каждое взаимодействие с рекламным материалом афилированные участники получают вознаграждение, что и делает такую схему прибыльной. По словам команды Infoblox, захват доменов может быть отдельной услугой, предоставляемой другим группам, участвующим в распространении вредоносной рекламы.
Специалисты подчёркивают важность своевременного удаления CNAME-записей после закрытия облачных ресурсов. В противном случае даже крупные организации рискуют превратиться в незаметный канал доставки вредоносных сообщений и инструмент манипуляции пользовательским трафиком. А для обычных пользователей рекомендация проста — никогда не соглашаться на получение push-уведомлений с незнакомых сайтов, чтобы не попасть в ловушку навязчивого и опасного контента.
Hazy Hawk наглядно показывает, насколько уязвимыми остаются забытые домены, даже если они когда-то принадлежали ведущим организациям. Пока рекламные схемы в даркнете остаются прибыльными, атаки подобного рода будут только набирать обороты.