Удалили облачный ресурс, но забыли CNAME? Поздравляем — теперь ваш домен продаёт порно и взломанные опросы

Группа злоумышленников, получившая название Hazy Hawk, взялась за массовый захват заброшенных облачных ресурсов ведущих организаций, включая Amazon S3 и Microsoft Azure, эксплуатируя слабости в конфигурации DNS-записей. Под их контроль попали также площадки на Akamai, Cloudflare CDN, GitHub, Netlify и других популярных сервисах. Как выяснили специалисты Infoblox, домены и субдомены, ранее принадлежавшие известным структурам, стали точками входа в цепочки мошенничества и вредоносных кампаний.

Деятельность этой группы была впервые зафиксирована в феврале 2025 года, когда Hazy Hawk завладел несколькими субдоменами, связанными с Центром по контролю и профилактике заболеваний США (CDC). Однако анализ показал, что кампания началась ещё в декабре 2023 года и затронула не только американские правительственные агентства, но и международные корпорации, такие как Deloitte, PwC и Ernst & Young, а также ведущие университеты.

Сценарий атак строится вокруг одного ключевого приёма — перехвата DNS-записей CNAME, указывающих на несуществующие или удалённые ресурсы. Достаточно зарегистрировать отсутствующий компонент — и контроль над доменом в руках злоумышленников. Такая тактика позволяет подменить содержимое сайтов на мошеннические страницы и в то же время сохранить высокий уровень доверия поисковых систем и браузеров за счёт изначально уважаемого происхождения домена.

Инфраструктура, построенная Hazy Hawk, замаскирована под банальные редиректы или легитимные сайты, иногда с клонированием контента оригинальных ресурсов. Однако конечная цель — вовлечь пользователя в цепочку перенаправлений через системы распределения трафика (TDS), ведущих к сайтам с порнографией, пиратским ПО и фейковыми опросами. Особое внимание уделяется активации push-уведомлений, которые позже используются для бесконечной доставки вредоносного контента.

Интересно, что, несмотря на использование инфраструктуры, напоминающей шпионские операции, действия Hazy Hawk нацелены не на разведку или кибер шпионаж , а на участие в теневом рынке рекламы и партнёрских программ. За каждое взаимодействие с рекламным материалом афилированные участники получают вознаграждение, что и делает такую схему прибыльной. По словам команды Infoblox, захват доменов может быть отдельной услугой, предоставляемой другим группам, участвующим в распространении вредоносной рекламы.

Специалисты подчёркивают важность своевременного удаления CNAME-записей после закрытия облачных ресурсов. В противном случае даже крупные организации рискуют превратиться в незаметный канал доставки вредоносных сообщений и инструмент манипуляции пользовательским трафиком. А для обычных пользователей рекомендация проста — никогда не соглашаться на получение push-уведомлений с незнакомых сайтов, чтобы не попасть в ловушку навязчивого и опасного контента.

Hazy Hawk наглядно показывает, насколько уязвимыми остаются забытые домены, даже если они когда-то принадлежали ведущим организациям. Пока рекламные схемы в даркнете остаются прибыльными, атаки подобного рода будут только набирать обороты.