Cybercrimegroepering Hazy Hawk kaapt grote domeinen
Bijna elke grote organisatie heeft wel eens te maken gehad met het overnemen van een subdomein via verlaten cloudbronnen (bijvoorbeeld die ooit nodig waren voor een campagne, maar niet werden verwijderd). Dit soort misbruik komt steeds vaker voor. Infoblox waarschuwt dat een groep cybercriminelen die bekend staat als Hazy Hawk hier actief gebruik van maakt. Zij nemen verlaten domeinen over en gebruiken die om grootschalige oplichting uit te voeren en schadelijke software te verspreiden. Infoblox benadrukt daarom het belang van het goed en voortdurend beheren van DNS-records en clouddiensten.
Hazy Hawk is een groep criminelen die DNS-records van stopgezette cloudbronnen overneemt, zoals Amazon S3-buckets en Azure-eindpunten. Door deze achtergelaten digitale middelen te misbruiken, kan Hazy Hawk schadelijke links hosten die gebruikers naar websites met oplichting en malware leiden. Het opsporen van kwetsbare DNS-records in de cloud is moeilijker dan het vinden van gewone, niet-geregistreerde domeinen. De groeiende populariteit van cloudgebruik heeft de afgelopen jaren geleid tot een toename van achtergelaten en onbeheerde bronnen. Organisaties zonder volledig zicht op hun digitale infrastructuur lopen vooral risico.
Sinds december 2024 is het Hazy Hawk gelukt om subdomeinen over te nemen van bekende organisaties, waaronder het Amerikaanse Center for Disease Control (CDC), verschillende overheidsinstellingen, universiteiten en internationale bedrijven.
Kenmerken van Hazy Hawk zijn onder meer:
- Geavanceerde technieken: In tegenstelling tot traditionele domeinkapers, richt Hazy Hawk zich op fouten in DNS-configuraties binnen de cloud. Hiervoor gebruiken ze waarschijnlijk diensten die DNS-gegevens verzamelen.
- Wereldwijde impact: De overgenomen domeinen worden gebruikt voor verschillende vormen van oplichting, zoals nepadvertenties en kwaadaardige pushmeldingen, waardoor wereldwijd miljoenen gebruikers worden getroffen.
- Forse economische schade: De oplichtingspraktijken van Hazy Hawk zijn onderdeel van de miljardenmarkt voor online fraude. Met name ouderen in de Verenigde Staten lijden hierdoor aanzienlijke financiële verliezen.
- Lastig te ontdekken: Hazy Hawk verbergt zijn activiteiten met verschillende verdedigingsmechanismen, waaronder het overnemen van betrouwbare domeinen, het verhullen van URL’s en het omleiden van verkeer via meerdere domeinen.
DNS-beheer op orde
Om zich te beschermen tegen dreigingen zoals Hazy Hawk, moeten organisaties hun DNS-beheer op orde hebben. Dit betekent regelmatig controleren van DNS-records en het direct verwijderen van verwijzingen naar stopgezette clouddiensten. Daarnaast is het belangrijk om gebruikers te waarschuwen: klik niet zomaar op meldingen van onbekende websites en weiger pushmeldingen die je niet vertrouwt.
Meer informatie over Hazy Hawk is hier beschikbaar.
Meer over Security
Over Wouter Hoeffnagel
