Rilevato attacco Hazy Hawk che prende di mira risorse cloud abbandonate dal 2023

Infoblox svela Hazy Hawk, una nuova minaccia che sfrutta risorse cloud abbandonate (S3, Azure) e lacune DNS da dicembre 2023. Scopri le loro tattiche e come proteggere la tua organizzazione e i tuoi utenti.

I ricercatori di sicurezza informatica di Infoblox Threat Intelligence hanno pubblicato risultati critici su una minaccia identificata di recente, denominata Hazy Hawk, che sta attivamente dirottando risorse cloud dimenticate almeno da dicembre 2023.

Nel loro rapporto, condiviso in esclusiva con Hackread.com, i ricercatori hanno osservato che questo gruppo avanzato è noto per le sue tattiche avanzate basate sul DNS e sfrutta le lacune nei record del Domain Name System (DNS) per reindirizzare gli ignari utenti Internet verso siti Web fraudolenti e malware.

Questa rivelazione arriva mentre la Federal Trade Commission (FTC) segnala un significativo aumento del 25% delle perdite legate alle truffe a partire dal 2023, per un totale di ben 12,5 miliardi di dollari.

Infoblox ha rilevato per la prima volta le attività di Hazy Hawk nel febbraio 2025, quando il gruppo ha preso il controllo dei sottodomini dei Centri per il Controllo e la Prevenzione delle Malattie (CDC) statunitensi. Il giornalista esperto di sicurezza informatica Brian Krebs è stato il primo a notare attività sospette sul dominio dei CDC.

Ulteriori indagini hanno rivelato che sono state prese di mira anche agenzie governative globali, tra cui alabama.gov e health.gov.au, importanti università come berkeley.edu e ucl.ac.uk e aziende internazionali tra cui Deloitte.com e PwC.com .

Il metodo di Hazy Hawk consiste nel trovare record DNS sospesi, ovvero record CNAME che puntano a risorse cloud abbandonate come bucket Amazon S3, endpoint Azure, Akamai, Cloudflare CDN e GitHub. Registrano queste risorse, ne ottengono il controllo e le utilizzano per ospitare numerosi URL dannosi. Infoblox ha soprannominato il gruppo Hazy Hawk per i suoi insoliti metodi di individuazione e dirottamento di specifiche risorse cloud.

Hazy Hawk impiega diverse tattiche per ingannare le vittime, tra cui false notifiche del browser e applicazioni fraudolente, l'utilizzo di offuscamento degli URL per nascondere la destinazione dei link e il riutilizzo di codice da siti web legittimi per far apparire affidabili le loro pagine iniziali. Altera anche gli URL dei bucket AWS S3 o reindirizza al sito web dell'Università di Bristol.

Una volta che un utente clicca su un link dannoso, viene indirizzato attraverso più siti di reindirizzamento come Blogspot o accorciatori di link come TinyURL, Bitly e sistemi di distribuzione del traffico (TDS) prima di raggiungere viralclipnow.xyz .

Questi sistemi sono progettati per massimizzare i profitti dei truffatori e rendere difficile agli esperti di sicurezza tracciare gli attacchi modificando dinamicamente i contenuti, portando le vittime a truffe come quelle relative all'assistenza tecnica o ai buoni regalo.

La ricerca rivela che le notifiche push sono una componente chiave delle truffe, in cui l'autore della minaccia può ricevere una quota di fatturato pari al 70-90 percento dall'affiliato che ha ottenuto l'approvazione della vittima, con servizi come RollerAds, che consentono di indirizzare ripetutamente le vittime.

Per prevenire tali dirottamenti, le organizzazioni dovrebbero utilizzare un DNS ben gestito, inclusa la rimozione dei record DNS CNAME quando le risorse cloud vengono dismesse. Gli utenti finali possono proteggersi tramite soluzioni DNS protettive che bloccano l'accesso a domini dannosi, anche quando gli autori della minaccia cambiano i nomi dei siti web, e prestare attenzione alle richieste di notifica dei siti web.