Aktor ancaman yang dikenal sebagai HAZY HAWK telah diamati pembajakan sumber daya cloud yang ditinggalkan dari organisasi profil tinggi, termasuk ember Amazon S3 dan titik akhir Microsoft Azure, dengan memanfaatkan kesalahan konfigurasi dalam catatan Domain Name System (DNS).
Domain yang dibajak kemudian digunakan untuk meng -host URL yang mengarahkan pengguna untuk penipuan dan malware melalui sistem distribusi lalu lintas (TDSES), menurut InfoLox. Beberapa sumber daya lain yang dirampas oleh aktor ancaman termasuk yang diselenggarakan di Akamai, Bunny CDN, Cloudflare CDN, GitHub, dan Netlify.
Perusahaan intelijen ancaman DNS mengatakan pertama kali menemukan aktor ancaman setelah mendapatkan kendali atas beberapa sub-domain yang terkait dengan Pusat Pengendalian Penyakit AS (CDC) pada Februari 2025.
Sejak itu telah ditentukan bahwa lembaga pemerintah lainnya di seluruh dunia, universitas -universitas terkemuka, dan perusahaan internasional seperti Deloitte, PricewaterhouseCoopers, dan Ernst & Young telah menjadi korban oleh aktor ancaman yang sama sejak setidaknya Desember 2023.
“Mungkin hal yang paling luar biasa tentang Hazy Hawk adalah bahwa domain yang sulit ditemukan dan rentan ini dengan ikatan dengan organisasi-organisasi yang terhormat ini tidak digunakan untuk spionase atau kejahatan cyber 'Highbrow',” kata portal Jacques Infeblox dan Renée Burton dalam sebuah laporan yang dibagikan kepada Hacker News.
“Sebaliknya, mereka memberi makan ke dalam dunia bawah tanah Adtech, membawa korban ke berbagai penipuan dan aplikasi palsu, dan menggunakan pemberitahuan browser untuk memicu proses yang akan memiliki dampak yang tersisa.”
Apa yang membuat operasi Hazy Hawk patut diperhatikan adalah pembajakan domain tepercaya dan terkemuka milik organisasi yang sah, sehingga meningkatkan kredibilitas mereka dalam hasil pencarian ketika mereka digunakan untuk melayani konten berbahaya dan spam. Tetapi bahkan lebih memprihatinkan, pendekatan ini memungkinkan para aktor ancaman untuk mendeteksi bypass.
Yang mendasari operasi adalah kemampuan para penyerang untuk mengambil kendali domain yang ditinggalkan dengan catatan CNAME DNS yang menggantung, sebuah teknik yang sebelumnya diekspos oleh Guardio pada awal 2024 sebagai dieksploitasi oleh aktor buruk untuk proliferasi spam dan klik monetisasi. Yang perlu dilakukan oleh aktor ancaman adalah mendaftarkan sumber daya yang hilang untuk membajak domain.
Hazy Hawk melangkah lebih jauh dengan menemukan sumber daya cloud yang ditinggalkan dan kemudian memerintahkannya untuk tujuan jahat. Dalam beberapa kasus, aktor ancaman menggunakan teknik pengalihan URL untuk menyembunyikan sumber daya cloud mana yang dibajak.
“Kami menggunakan nama Hazy Hawk untuk aktor ini karena bagaimana mereka menemukan dan membajak sumber daya cloud yang memiliki catatan CNAME DNS yang menggantung dan kemudian menggunakannya dalam distribusi URL berbahaya,” kata Infeblox. “Mungkin saja komponen pembajakan domain disediakan sebagai layanan dan digunakan oleh sekelompok aktor.”
Rantai serangan sering melibatkan mengkloning isi situs yang sah untuk situs awal mereka yang diselenggarakan di domain yang dibajak, sambil memikat para korban untuk mengunjungi mereka dengan konten porno atau bajakan. Pengunjung situs kemudian disalurkan melalui TDS untuk menentukan di mana mereka mendarat berikutnya.
“Hazy Hawk adalah salah satu dari lusinan aktor ancaman yang kami lacak di dunia afiliasi iklan,” kata perusahaan itu. “Aktor ancaman yang termasuk dalam program periklanan afiliasi mendorong pengguna ke konten berbahaya yang disesuaikan dan diberi insentif untuk memasukkan permintaan untuk memungkinkan pemberitahuan push dari 'situs web' di sepanjang jalur pengalihan.”
Dengan melakukan hal itu, idenya adalah untuk membanjiri perangkat korban dengan pemberitahuan push dan memberikan semburan konten berbahaya yang tak ada habisnya, dengan setiap pemberitahuan yang mengarah ke berbagai penipuan, Scareware, dan survei palsu, dan disertai dengan permintaan untuk memungkinkan lebih banyak pemberitahuan push.
Untuk mencegah dan melindungi dari aktivitas Hezy Hawk, pemilik domain disarankan untuk menghapus catatan CNAME DNS segera setelah sumber daya ditutup. Pengguna akhir, di sisi lain, disarankan untuk menolak permintaan pemberitahuan dari situs web yang tidak mereka ketahui.
“Sementara operator seperti Hazy Hawk bertanggung jawab atas godaan awal, pengguna yang mengklik dibawa ke labirin adtech yang samar dan berbahaya. Fakta bahwa Hazy Hawk berupaya keras untuk menemukan domain yang rentan dan kemudian menggunakannya untuk operasi penipuan menunjukkan bahwa program afiliasi iklan ini cukup berhasil untuk membayar dengan baik,” InfoBlox.
