Ένας απειλητικός φορέας, γνωστός ως «Hazy Hawk», καταλαμβάνει παραμελημένες εγγραφές DNS τύπου CNAME που οδηγούν σε εγκαταλελειμμένες υπηρεσίες cloud, παίρνοντας τον έλεγχο έμπιστων υποτομέων κυβερνήσεων, πανεπιστημίων και εταιρειών του Fortune 500, με σκοπό τη διανομή απατών, ψεύτικων εφαρμογών και κακόβουλων διαφημίσεων.
Δείτε επίσης: CISA: Το DNS Fast Flux χρησιμοποιείται από κυβερνοεκληματίες
Σύμφωνα με ερευνητές της Infoblox, η ομάδα Hazy Hawk ξεκινά εντοπίζοντας τομείς με εγγραφές CNAME που δείχνουν σε εγκαταλελειμμένα cloud endpoints, κάτι που προσδιορίζεται μέσω παθητικής ανάλυσης DNS δεδομένων.
Στη συνέχεια, καταχωρεί έναν νέο πόρο στο cloud με το ίδιο όνομα όπως αυτό που υπήρχε στην εγκαταλελειμμένη εγγραφή CNAME, προκαλώντας την ανακατεύθυνση του υποτομέα του αρχικού domain στον νέο ιστότοπο που ελέγχει η ομάδα. Χρησιμοποιώντας αυτή την τεχνική, οι επιτιθέμενοι κατέλαβαν πολλαπλούς τομείς για να καλύψουν κακόβουλες δραστηριότητες, να φιλοξενήσουν απατηλό περιεχόμενο ή να τους χρησιμοποιήσουν ως κόμβους ανακατεύθυνσης για επιχειρήσεις απάτης.
Η πλήρης λίστα των παραβιασμένων τομέων βρίσκεται στην έκθεση της Infoblox.
Αφού η Hazy Hawk αποκτήσει τον έλεγχο ενός υποτομέα, δημιουργεί εκατοντάδες κακόβουλα URL κάτω από αυτόν, τα οποία εμφανίζονται ως αξιόπιστα στις μηχανές αναζήτησης λόγω της υψηλής αξιοπιστίας του κύριου domain.
Δείτε ακόμα: Το ZLoader malware χρησιμοποιεί την τεχνική DNS Tunneling
Τα θύματα που κάνουν κλικ σε αυτά τα URL ανακατευθύνονται μέσω πολλαπλών επιπέδων domains και υποδομής TDS, η οποία τα κατατάσσει με βάση τον τύπο συσκευής, τη διεύθυνση IP, τη χρήση VPN κ.λπ., ώστε να διαπιστωθεί η «καταλληλότητά» τους. Σύμφωνα με την έκθεση της Infoblox, οι ιστότοποι αυτοί χρησιμοποιούνται για τεχνικές απάτες υποστήριξης, ψεύτικες ειδοποιήσεις antivirus, πλαστές σελίδες streaming ή πορνογραφικού περιεχομένου, καθώς και για επιθέσεις phishing.
Οι χρήστες που παραπλανούνται και επιτρέπουν ειδοποιήσεις push μέσω του browser τους, συνεχίζουν να λαμβάνουν επίμονες ειδοποιήσεις ακόμη και μετά την αποχώρησή τους από τους απατηλούς ιστότοπους, γεγονός που μπορεί να αποφέρει σημαντικά έσοδα για τη Hazy Hawk.
Οι ίδιοι ερευνητές είχαν αναφέρει παλαιότερα έναν άλλο φορέα απειλής, τον «Savvy Seahorse», ο οποίος επίσης εκμεταλλεύτηκε εγγραφές CNAME για να δημιουργήσει μια ασυνήθιστη υποδομή TDS, η οποία ανακατεύθυνε χρήστες σε ψεύτικες επενδυτικές πλατφόρμες.
Οι εγγραφές CNAME παραβλέπονται εύκολα, γεγονός που τις καθιστά ευάλωτες σε ύπουλη κατάχρηση, και φαίνεται ότι όλο και περισσότεροι επιτιθέμενοι το αντιλαμβάνονται αυτό και προσπαθούν να το εκμεταλλευτούν.
Στην περίπτωση του Hazy Hawk, η επιτυχία της επιχείρησης βασίζεται επίσης στην αποτυχία των οργανισμών να διαγράψουν τις εγγραφές DNS μετά την απόσυρση υπηρεσιών cloud, κάτι που επιτρέπει στους επιτιθέμενους να αναπαράγουν το αρχικό όνομα πόρου χωρίς να απαιτείται έλεγχος ταυτότητας.
Δείτε επίσης: DNS hijacking στοχεύει πλατφόρμες crypto μέσω Squarespace
Οι επιθέσεις όπως αυτές των Hazy Hawk και Savvy Seahorse δείχνουν ότι η αμέλεια στον καθαρισμό παλιών ή ανενεργών DNS εγγραφών μπορεί να ανοίξει την πόρτα σε εξαιρετικά παραπλανητικές καμπάνιες, που αξιοποιούν την αξιοπιστία μεγάλων οργανισμών για να εξαπατήσουν χρήστες. Επειδή οι υποτομείς φέρουν το domain μιας αξιόπιστης οντότητας (π.χ. κυβερνητικός ή πανεπιστημιακός ιστότοπος), οι τελικοί χρήστες δεν υποψιάζονται κάτι ύποπτο.
Πηγή: bleepingcomputer
