Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Группировка Hazy Hawk использует ошибки в настройках DNS для захвата поддоменов (http://txgate.io:443/showthread.php?t=51297296)

WWW 05-26-2025 12:07 PM
<div id="post_message_792867">

Группировка Hazy Hawk перехватывает забытые записи DNS CNAME, указывающие на заброшенные облачные сервисы, и захватывает доверенные поддомены правительств, университетов и крупных компаний. Хакеры используют их для мошенничества, распространения фальшивых приложений и вредоносной рекламы.<br/>
<br/>
По информации экспертов компании <a href="https://blogs.infoblox.com/threat-intelligence/cloudy-with-a-chance-of-hijacking-forgotten-dns-records-enable-scam-actor/" target="_blank">Infoblox</a>, Hazy Hawk ищет домены с записями CNAME, указывающими на заброшенные облачные эндпоинты, которые хакеры находят при помощи пассивной проверки данных DNS.<br/>
<br/>
Затем атакующие регистрируют новый облачный ресурс с тем же именем, что и в заброшенном CNAME, в результате чего поддомен преобразуется в новый облачный сайт, подконтрольный хакерам.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/512873/overview.jpg"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Общая схема атаки

</td>
</tr>
</table>
</div>Таким способом злоумышленники захватили множество доменов и использовали их для маскировки своей вредоносной деятельности. Например, размещали мошеннический контент или применяли в качестве центров перенаправления в своих операциях.<br/>
<br/>
Среди наиболее ярких примеров взломанных доменов:<ul><li>cdc.gov — Центр по контролю и профилактике заболеваний США;</li>
</ul><ul><li>honeywell.com — крупная американская корпорация Honeywell, производящая электронные системы управления и автоматизации;</li>
</ul><ul><li>berkeley.edu — Калифорнийский университет в Беркли;</li>
</ul><ul><li>michelin.co.uk — британское представительство производителя шин Michelin;</li>
</ul><ul><li>ey.com, pwc.com, deloitte.com — международные консалтинговые фирмы;</li>
</ul><ul><li>ted.com — известная некоммерческая медиа-организация (TED Talks);</li>
</ul><ul><li>health.gov.au — Министерство здравоохранения Австралии;</li>
</ul><ul><li>unicef.org — детский фонд ООН;</li>
</ul><ul><li>nyu.edu — Нью-Йоркский университет;</li>
</ul><ul><li>unilever.com — транснациональная компания Unilever, один из крупнейших в мире производителей товаров повседневного спроса;</li>
</ul><ul><li>ca.gov — правительство штата Калифорния.</li>
</ul>Получив контроль над поддоменом, злоумышленники создают на нем сотни вредоносных URL. Такие адреса выглядят легитимными для поисковых систем благодаря высокому доверию к родительскому домену.<br/>
<br/>
Жертвы, перешедшие по таким URL, перенаправляются через множество доменов и TDS-инфраструктуру. Пользователей профилируют на основе типа их устройств, IP-адресов, использования VPN и так далее, чтобы отнести их к определенной категории.<br/>
<br/>
Исследователи сообщают, что сайты используются для мошенничества с фальшивой техподдержкой, фиктивных предупреждений о вирусах, размещения поддельных порносайтов и фишинговых страниц.<br/>
<br/>
Если пользователь, попавший на такой сайт, соглашается разрешить push-уведомления в браузере, в итоге он будет получать постоянные оповещения даже после того, как покинет мошеннический сайт. По словам экспертов, это может приносить участникам Hazy Hawk существенный доход.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/512873/push-not.jpg"/><br/>
<br/>
Напомним, что ранее похожую тактику <a href="https://blogs.infoblox.com/cyber-threat-intelligence/beware-the-shallow-waters-savvy-seahorse-lures-victims-to-fake-investment-platforms-through-facebook-ads/" target="_blank">использовали </a>злоумышленники из группы Savvy Seahorse. Они злоупотребляли записями CNAME для создания TDS, перенаправляющего пользователей на страницы фейковых инвестиционных платформ.<br/>
<br/>
<a href="https://xakep.ru/2025/05/21/hazy-hawk-cname-abuse/" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 09:20 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.