Кіберзлочинці навчилися використовувати покинуті інтернет-ресурси відомих компаній для запуску фішингових кампаній і поширення шкідливого ПЗ. Жертвами вже стали субдомени Bose, Panasonic, Deloitte і навіть Центру з контролю та профілактики захворювань США.
Кіберзлочинці навчилися використовувати покинуті інтернет-ресурси відомих компаній для запуску фішингових кампаній і поширення шкідливого ПЗ. Жертвами вже стали субдомени Bose, Panasonic, Deloitte і навіть Центру з контролю та профілактики захворювань США.
Як повідомляє Infoblox, відповідальність за нову хвилю кібератак несе угруповання Hazy Hawk. Замість прямого злому вони використовують слабкі місця в інфраструктурі компаній — зокрема, невидалені DNS-записи, що залишилися після вимкнення хмарних сервісів.
Маловідоме, але активне кіберугруповання, що спеціалізується на атаках через інфраструктурні слабкості. Його кампанії фіксувалися у США, Європі та Японії.
Ці так звані «висячі» записи дають змогу хакерам зареєструвати контроль над покинутими субдоменами. Наприклад, якщо компанія припинила використовувати певний сервіс на AWS чи Azure, але DNS-запис усе ще вказує на нього, зловмисник може зайняти цю IP-адресу — і фактично отримати у своє розпорядження субдомен на кшталт something.panasonic.com.
Далі через ці легітимні на вигляд адреси користувачів перенаправляють на шахрайські сайти. Для цього Hazy Hawk використовує системи розподілу трафіку (TDS), які підбирають «сценарій обману» залежно від пристрою, локації й поведінки користувача. Часто спочатку йдеться про нібито безпечні домени, як-от share.js.org, але за кілька кліків користувач уже отримує фальшиві попередження про віруси або пропозиції встановити «оновлення», що насправді є шкідливим ПЗ.
Окрім разового зараження, атаки мають довгостроковий ефект. Якщо користувач дозволяє надсилання push-сповіщень, він ще довго отримуватиме шахрайський контент.
Користувачам слід уникати дозволу на сповіщення з незнайомих сайтів і не переходити за сумнівними посиланнями. Компаніям варто регулярно перевіряти свої DNS-записи й видаляти ті, що вказують на вже неіснуючі хмарні сервіси.
Для цього рекомендується використовувати інструменти моніторингу DNS у зв’язці з threat intelligence-системами. Безпека DNS повинна стати пріоритетом, а не «дрібною технічною справою».
Нагадаємо, нещодавно ми писали про те, як китайське угруповання APT41 створило нове шкідливе програмне забезпечення під назвою ToughProgress, яке використовує Google Calendar як канал для зв’язку з командним сервером.
