Un actor malicioso oculto en recursos cloud sin uso
- Actualidad
El nuevo actor de amenazas Hazy Hawk, identificado por Infoblox Threat Intel, es capaz de sacar partido a registros DNS que han sido abandonados, pero están alojados en la nube: toma su control y los aprovecha para alojar URLs maliciosas desde las que lanzar esquemas de estafa e infecciones de malware.
Infoblox Threat Intel ha identificado a un nuevo actor malicioso, al que ha bautizado como Hazy Hawk y que se dedica al secuestro de subdominios, utilizando recursos cloud que no están siendo utilizados. Según señala la compañía, cuando han conseguido secuestrar estos subdominios, los delincuentes los utilizan para realizar “ciberestafas a gran escala y distribuir malware”.
El grupo se aprovecha de registros DNS que han sido abandonados, pero se encuentran alojados en la nube, entre los que Infoblox, menciona buckets de Amazon S3 y endpoints de Azure. Sus técnicas de secuestro de dominios son “altamente sofisticadas”, explotando las configuraciones incorrectas de DNS en la nube, lo que supone que tenían acceso a servicios DNS pasivos.
La compañía explica también que los atacantes utilizan una variedad de métodos de ofuscación y niveles de defensa para evitar ser detectados. Además, con los dominios secuestrados, realizan campañas complejas, que utilizan anuncios falsos y notificaciones maliciosas, con impacto en millones de usuarios en todo el mundo.
Infoblox explica que el crecimiento de la nube ha disparado el número de recursos cloud abandonados. “Esto sucede especialmente en casos en los que las organizaciones no utilizan una solución integral que les proporcione visibilidad y capacidad de gestión de sus activos de TI basados en la nube. Hazy Hawk es el responsable del secuestro de subdominios de diversas organizaciones norteamericanas, agencias gubernamentales, universidades y multinacionales desde diciembre de 2024”.
