出典: ambquinn via Shutterstock
攻撃者は長い間、いい加減なDNS設定を利用してドメイン名を乗っ取り、ユーザーを詐欺やマルウェア配布、その他の悪意ある活動のための怪しいサイトにリダイレクトしてきました。現在、Infobloxによって”Hazy Hawk”として追跡されている脅威アクターは、著名な組織に関連する放棄されたクラウドリソース(S3バケットやAzureエンドポイントなど)を制御するために、攻撃ベクトルの異なるバージョンを活用しています。
Infobloxは、脅威アクターが乗っ取ったドメインを使用して、多数のURLをホストし、ユーザーをトラフィック配信システム(TDS)を通じてマルウェア感染サイトや詐欺ページに誘導していることを観察しました。
これまでのところ、Hazy Hawkの被害者には、米国疾病予防管理センター(CDC)、世界中の政府機関、大学(バークレーを含む)、医療企業、デロイト、プライスウォーターハウスクーパース、アーンスト・アンド・ヤングといった大企業が含まれています。
複雑で手間のかかるサイバー攻撃
“Hazy Hawkの最も注目すべき点は、これらの発見が難しい脆弱なドメインが、著名な組織に関連しているにもかかわらず、スパイ活動や『高尚なサイバー犯罪』に使用されていないことです”と、Infobloxの研究者Jacques PortalとRenée Burtonは今日のブログ投稿で述べています。”代わりに、彼らは広告技術の裏社会に関与し、被害者をさまざまな詐欺や偽アプリケーションに誘導し、ブラウザ通知を利用して長期的な影響を与えるプロセスをトリガーします。”
関連記事:Orca Security、Opus契約でAI駆動の修復機能を獲得
攻撃者は、フィッシングや弱いパスワードを通じてドメイン登録者アカウントの資格情報を盗む、所有者を騙して所有権を移転させるソーシャルエンジニアリング、残存信頼を持つ期限切れドメインを利用するなど、さまざまな方法でWebドメインを乗っ取ることができます。
Hazy Hawkの好む戦術は、危険なタイプのDNS設定ミスであるぶら下がりCNAME(正規名)レコードを活用することです。本質的に、ぶら下がりCNAMEレコードは、存在しないまたは放棄された外部ドメインを指すDNSエントリです。このようなレコードを見つけた攻撃者は、参照されたドメインを取得し、トラフィックを悪意のあるサイトにリダイレクトすることができます。これは、個人がもはや存在しない場所への転送先住所を残しているようなもので、攻撃者がそこに移動すると、その住所に転送されるものを受け取ることができるのと似ています。
具体的には、Hazy Hawkのアクターは、AzureやAWS上のアプリなど、クラウドベースのリソースを指すぶら下がりCNAMEレコードを悪用しています。これらのレコードは、組織がサブドメインをクラウドサービス(テストアプリ用のドメインなど)に指すCNAMEレコードを設定したが、テストが終了した後にCNAMEレコードを削除するのを忘れた場合に発生することがあります。
関連記事:Fortra、Lookoutのクラウドセキュリティ事業でSSE機能を拡大
スキャンで見つけることができるぶら下がりレコードとは異なり、脆弱なCNAMEレコードは見つけるのがはるかに難しく、多くの場合、手動での作業やクラウドプロバイダーのDNSパターンや放棄されたリソースの処理プロセスの理解が必要ですと、Infobloxは述べています。多くの場合、商業的なパッシブDNSサービスにアクセスし、歴史的なDNSクエリデータを収集・分析する必要があります。
これらのレコードを見つけることは、ドメインをIPアドレスに指す他のタイプのぶら下がりDNSレコードを見つけるよりもはるかに困難ですと、BurtonはDark Readingに語ります。Hazy Hawkが行っているのは、放棄されたクラウドサービスエンドポイントを体系的かつ持続的に見つけて乗っ取り、マルウェアや詐欺を配信することですと彼女は説明します。「この種のドメイン乗っ取りについての以前の議論は、理論や単一の例に限られていました。私たちは、少なくとも1つの特定のアクターによって一貫して行われていることを示しています。」
さまざまな誘因がポルノや詐欺に導く
Infobloxは、CDCのドメインが突然、ポルノ動画や英国のサッカーゲームの広告を指す数十のURLをホストしているという情報を調査する中で、Hazy Hawkのキャンペーンを発見しました。多くのリンクは、信頼されたCDCのサブドメインにホストされていたため、検索エンジンの結果で高い位置に表示されました。URLは非常に隠蔽されており、多くの場合、TDSに導かれ、Webトラフィックを悪意のあるサイトにルーティングするために悪用される可能性があり、帰属を困難にします。
関連記事:サイバーの過去と現在: 2つの時代にわたる業界の進化
被害者は検索エンジンでリバプール・レッズのサッカーゲームを検索し、無料でゲームを視聴できると約束するスパム結果を受け取ったかもしれませんと、Burtonは言います。しかし、被害者がリンクをクリックすると、通常は偽のCAPTCHAを通じて人間であることを証明するよう求められる偽のページに誘導されます。「その後、デバイスや場所を含むいくつかの要因に応じて、詐欺にルーティングされます」と彼女は言います。「これらの詐欺経路には、マルウェアのダウンロード、偽アプリ、アンチウイルスやテクニカルサポート詐欺、出会い系やポルノ詐欺、暗号詐欺などが含まれる可能性があります。」
Infobloxの調査によると、CDCは、Hazy Hawkが2023年12月以来、乗っ取りと悪用に成功した多くの評判の良い組織の1つに過ぎません。
Burtonは、Hazy Hawkの背後にいる脅威アクターは東ヨーロッパに拠点を置き、著名なロシアのサイバー犯罪者と関連している可能性が高いと言います。「Hazy Hawkのような脅威アクターを阻止するために、組織は堅牢なDNS管理プラクティスを実施し、DNSレコードの定期的な監査や、停止したクラウドサービスに関連するレコードの迅速な削除を行うべきです」と彼女は言います。「さらに、ユーザーは詐欺に巻き込まれないように、見知らぬウェブサイトからのプッシュ通知要求を拒否するよう教育されるべきです。」
翻訳元: https://www.darkreading.com/cloud-security/hazy-hawk-cybercrime-gang-cloud-resources