コンテンツにスキップするには Enter キーを押してください

Hazy HawkがDNSレコードを悪用し、CDCや企業ドメインを乗っ取りマルウェアを配信

投稿日 2025年5月21日

Image

Hazy Hawkとして知られる脅威アクターが、Amazon S3バケットやMicrosoft Azureエンドポイントを含む著名な組織の放棄されたクラウドリソースを、ドメインネームシステム(DNS)レコードの設定ミスを利用して乗っ取っていることが観察されています。

乗っ取られたドメインは、その後、トラフィック配信システム(TDS)を通じてユーザーを詐欺やマルウェアに誘導するURLをホストするために使用されると、Infobloxは述べています。脅威アクターによって奪われた他のリソースには、Akamai、Bunny CDN、Cloudflare CDN、GitHub、Netlifyにホストされているものが含まれます。

DNS脅威インテリジェンス企業は、2025年2月に米国疾病予防管理センター(CDC)に関連するいくつかのサブドメインを制御した後に、この脅威アクターを初めて発見したと述べています。

それ以来、世界中の他の政府機関、著名な大学、Deloitte、PricewaterhouseCoopers、Ernst & Youngなどの国際的な企業が、少なくとも2023年12月以来、同じ脅威アクターによって被害を受けていることが判明しています。

“Hazy Hawkの最も注目すべき点は、これらの発見が難しい、著名な組織に関連する脆弱なドメインがスパイ活動や『高尚な』サイバー犯罪に使用されていないことです。”と、InfobloxのJacques PortalとRenée BurtonはThe Hacker Newsに共有されたレポートで述べました。

“代わりに、それらは広告技術の裏社会に流れ込み、被害者をさまざまな詐欺や偽のアプリケーションに誘導し、ブラウザ通知を使用して長期的な影響を与えるプロセスを開始します。”

Hazy Hawkの活動が注目されるのは、信頼される正当な組織に属するドメインを乗っ取ることで、悪意のあるスパムコンテンツを提供する際に検索結果での信頼性を高めることです。しかし、さらに懸念されるのは、このアプローチが脅威アクターに検出を回避させることです。

この作戦の基盤となるのは、攻撃者が放棄されたドメインを、ぶら下がったDNS CNAMEレコードとともに制御する能力です。この手法は、Guardioによって2024年初頭に、スパムの拡散やクリック収益化のために悪意のあるアクターによって悪用されていることが以前に明らかにされました。脅威アクターが必要なのは、ドメインを乗っ取るために欠落しているリソースを登録することだけです。

Image

Hazy Hawkはさらに一歩進んで、放棄されたクラウドリソースを見つけ、それを悪意のある目的で乗っ取ります。場合によっては、脅威アクターはどのクラウドリソースが乗っ取られたかを隠すためにURLリダイレクション技術を使用します。

“私たちは、このアクターをHazy Hawkと呼んでいます。彼らは、ぶら下がったDNS CNAMEレコードを持つクラウドリソースを見つけて乗っ取り、悪意のあるURL配信に使用するからです。”とInfobloxは述べました。”ドメイン乗っ取りのコンポーネントはサービスとして提供されており、一群のアクターによって使用されている可能性があります。”

攻撃チェーンはしばしば、乗っ取られたドメインにホストされた正当なサイトのコンテンツをクローンし、ポルノグラフィックまたは海賊版コンテンツで被害者を誘い込むことを含みます。サイト訪問者はその後、TDSを介して次にどこに行くかを決定されます。

“Hazy Hawkは、広告アフィリエイトの世界で追跡している数十の脅威アクターの一つです。”と会社は述べました。”アフィリエイト広告プログラムに属する脅威アクターは、ユーザーをカスタマイズされた悪意のあるコンテンツに誘導し、リダイレクトパスに沿って『ウェブサイト』からのプッシュ通知を許可する要求を含めるよう奨励されています。”

そうすることで、被害者のデバイスにプッシュ通知を氾濫させ、無限の悪意のあるコンテンツを配信し、各通知が異なる詐欺、スケアウェア、偽のアンケートに繋がり、さらに多くのプッシュ通知を許可する要求を伴います。

Hazy Hawkの活動を防ぎ、保護するために、ドメイン所有者はリソースがシャットダウンされたらすぐにDNS CNAMEレコードを削除することを推奨します。一方、エンドユーザーは知らないウェブサイトからの通知要求を拒否することを勧められています。

“Hazy Hawkのようなオペレーターは最初の誘いを担当していますが、クリックしたユーザーは怪しげで完全に悪意のある広告技術の迷宮に導かれます。Hazy Hawkが脆弱なドメインを見つけて詐欺操作に使用することに多大な努力を注いでいることは、これらの広告アフィリエイトプログラムが十分に成功していて、良い報酬を支払っていることを示しています。”とInfobloxは述べました。

翻訳元: https://thehackernews.com/2025/05/hazy-hawk-exploits-dns-records-to.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です