Hazy-Hawk-Angriff auf verlassene Cloud-Ressourcen seit 2023 entdeckt

Infoblox enthüllt Hazy Hawk, eine neue Bedrohung, die seit Dezember 2023 ungenutzte Cloud-Ressourcen (S3, Azure) und DNS-Lücken ausnutzt. Erfahren Sie mehr über die Taktiken und wie Sie Ihr Unternehmen und Ihre Benutzer schützen können.

Cybersicherheitsforscher von Infoblox Threat Intelligence haben wichtige Erkenntnisse zu einer kürzlich identifizierten Bedrohung namens Hazy Hawk veröffentlicht, die seit mindestens Dezember 2023 aktiv vergessene Cloud-Ressourcen kapert.

In ihrem Bericht, der exklusiv mit Hackread.com geteilt wurde, stellten die Forscher fest, dass diese hochentwickelte Gruppe für ihre DNS-erfahrenen Taktiken bekannt ist und Lücken in Domain Name System (DNS)-Einträgen ausnutzt, um ahnungslose Internetnutzer auf betrügerische Websites und Malware umzuleiten.

Diese Enthüllung erfolgt, während die Federal Trade Commission (FTC) einen signifikanten Anstieg der betrugsbedingten Verluste ab 2023 um 25 % auf insgesamt satte 12,5 Milliarden US-Dollar meldet.

Infoblox entdeckte die Aktivitäten von Hazy Hawk erstmals im Februar 2025, als die Gruppe erfolgreich die Kontrolle über Subdomains der US-amerikanischen Centers for Disease Control (CDC) übernahm. Der Cybersicherheitsjournalist Brian Krebs war der Erste, der verdächtige Aktivitäten auf der CDC-Domain bemerkte .

Weitere Untersuchungen ergaben, dass auch globale Regierungsbehörden, darunter alabama.gov und health.gov.au, große Universitäten wie berkeley.edu und ucl.ac.uk sowie internationale Unternehmen, darunter Deloitte.com und PwC.com , ins Visier genommen wurden.

Hazy Hawks Methode besteht darin, dangling DNS-Einträge zu finden. Dabei handelt es sich um CNAME -Einträge, die auf ungenutzte Cloud-Ressourcen wie Amazon S3-Buckets, Azure-Endpunkte, Akamai, Cloudflare CDN und GitHub verweisen. Sie registrieren diese Ressourcen, erlangen die Kontrolle und nutzen sie zum Hosten zahlreicher schädlicher URLs. Infoblox nannte die Gruppe Hazy Hawk aufgrund ihrer ungewöhnlichen Methoden, bestimmte Cloud-Ressourcen zu lokalisieren und zu kapern.

Hazy Hawk nutzt verschiedene Taktiken, um Opfer zu täuschen. Dazu gehören gefälschte Browserbenachrichtigungen und betrügerische Anwendungen, die Verschleierung von URLs zum Verbergen von Linkzielen und die Verwendung von Code legitimer Websites, um deren Startseiten vertrauenswürdig erscheinen zu lassen. Außerdem werden die URLs von AWS S3-Buckets verändert oder auf die Website der Universität Bristol umgeleitet.

Sobald ein Benutzer auf einen bösartigen Link klickt, wird er über mehrere Umleitungsseiten wie Blogspot oder Linkverkürzer wie TinyURL, Bitly und Traffic Distribution Systems (TDSs) geleitet, bevor er viralclipnow.xyz erreicht.

Diese Systeme sind darauf ausgelegt, den Gewinn der Betrüger zu maximieren und es Sicherheitsexperten durch dynamisch wechselnde Inhalte zu erschweren, Angriffe zurückzuverfolgen, was die Opfer zu Betrügereien wie Betrug beim technischen Support oder Geschenkkartensystemen verleitet.

Die Untersuchung zeigt, dass Push-Benachrichtigungen eine Schlüsselkomponente von Betrugsmaschen sind. Dabei kann der Bedrohungsakteur einen Umsatzanteil von 70 bis 90 Prozent von dem Partner erhalten, der die Zustimmung des Opfers eingeholt hat. Dienste wie RollerAds ermöglichen dabei eine wiederholte gezielte Ansprache der Opfer.

Um solche Angriffe zu verhindern, sollten Unternehmen gut verwaltete DNS-Systeme verwenden und DNS-CNAME-Einträge entfernen, wenn Cloud-Ressourcen außer Betrieb genommen werden. Endbenutzer können sich durch schützende DNS-Lösungen schützen, die den Zugriff auf schädliche Domänen blockieren, selbst wenn Bedrohungsakteure Website-Namen ändern. Außerdem sollten sie bei Website-Benachrichtigungsanfragen vorsichtig sein.