O sequestro de subdomínios por meio de recursos abandonados da nuvem feito por um hacker, chamado Hazy Hawk, é um problema que provavelmente todas as grandes organizações já enfrentaram, e esses ataques estão em ascensão.

A Infoblox Threat Intel rastreou parte dessa atividade até o hacker, que usa domínios sequestrados para realizar golpes em larga escala e distribuir malware. Esta descoberta destaca a necessidade crítica de as organizações gerenciarem seus registros de DNS e recursos da nuvem com vigilância.

O que é Hazy Hawk?

Hazy Hawk é um agente sofisticado que sequestra registros DNS esquecidos de serviços de nuvem descontinuados, como buckets do Amazon S3 e endpoints do Azure. Ao assumir o controle desses recursos abandonados, o Hazy Hawk consegue hospedar URLs maliciosos que levam usuários desavisados a golpes e malware.

Identificar registros de DNS vulneráveis na nuvem é significativamente mais desafiador do que identificar domínios comuns não registrados. À medida que o uso da nuvem cresceu, o número de recursos abandonados do tipo “lançar e esquecer” disparou. Especialmente para as empresas que não utilizam uma solução abrangente de visibilidade e gestão para controlar todos os seus patrimônios digitais.

O Hazy Hawk sequestrou com sucesso subdomínios de organizações respeitáveis, incluindo o Centro de Controle de Doenças dos EUA (CDC), várias agências governamentais, universidades e empresas internacionais desde dezembro de 2024.

Detalhes do Hazy Hawk:

Medidas de Proteção

Para prevenir agentes de ameaças como a Hazy Hawk, as organizações devem implementar práticas robustas de gerenciamento de DNS, incluindo auditorias regulares de registros de DNS e a remoção imediata de registros associados a serviços de nuvem descontinuados. Além disso, os usuários devem ser orientados a negar solicitações de notificações push de sites desconhecidos para evitar serem vítimas de golpes.

Sobre a Infoblox

