Un actor de amenaza conocido como Hazmas<\/strong> se ha observado secuestrar recursos en la nube abandonados de organizaciones de alto perfil, incluidos los cubos de Amazon S3 y los puntos finales de Microsoft Azure, aprovechando las configuraciones err\u00f3neas en los registros del sistema de nombres de dominio (DNS).<\/p>\n Los dominios secuestrados se utilizan para alojar las URL que dirigen a los usuarios a estafas y malware a trav\u00e9s de sistemas de distribuci\u00f3n de tr\u00e1fico (TDSE), seg\u00fan Informlox. Algunos de los otros recursos usurpados por el actor de amenazas incluyen los alojados en Akamai, Bunny CDN, Cloudflare CDN, GitHub y Netlify.<\/p>\n La firma de inteligencia de amenazas del DNS dijo que descubri\u00f3 por primera vez al actor de amenaza despu\u00e9s de que obtuvo el control de varios subdominios asociados con el Centro de Control de Enfermedades de los Estados Unidos (CDC) en febrero de 2025.<\/p>\n Desde entonces se ha determinado que otras agencias gubernamentales en todo el mundo, universidades prominentes y corporaciones internacionales como Deloitte, PricewaterhouseCoopers y Ernst & Young han sido v\u00edctimas por el mismo actor de amenazas desde al menos diciembre de 2023.<\/p>\n “Quiz\u00e1s lo m\u00e1s notable de Hazy Hawk es que estos dominios vulnerables y dif\u00edciles de descubrir con v\u00ednculos con organizaciones estimadas no se est\u00e1n utilizando para el espionaje o el delito cibern\u00e9tico ‘Highbrow’, el portal de Jacques de Informlox y Ren\u00e9e Burton dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n “En cambio, se alimentan en el s\u00f3rdido inframundo de Adtech, llevan a las v\u00edctimas a una amplia gama de estafas y aplicaciones falsas, y utilizan notificaciones de navegador para desencadenar procesos que tendr\u00e1n un impacto persistente”.<\/p>\n Lo que hace que las operaciones de bromo Hawk sean notables es el secuestro de dominios confiables y de buena reputaci\u00f3n que pertenecen a organizaciones leg\u00edtimas, lo que aumenta su credibilidad en los resultados de b\u00fasqueda cuando se est\u00e1n utilizando para servir contenido malicioso y spam. Pero a\u00fan m\u00e1s preocupante, el enfoque permite a los actores de amenaza evitar la detecci\u00f3n.<\/p>\n La base de la operaci\u00f3n es la capacidad de los atacantes para apoderarse del control de dominios abandonados con registros de DNS CNAME de colgantes, una t\u00e9cnica previamente expuesta por Guardio a principios de 2024 como explotada por los malos actores para la proliferaci\u00f3n de spam y la monetizaci\u00f3n de clics. Todo lo que un actor de amenaza debe hacer es registrar el recurso que falta para secuestrar el dominio.<\/p>\n Hazy Hawk va un paso m\u00e1s all\u00e1 al encontrar recursos en la nube abandonados y luego comand\u00e1ndolos con fines maliciosos. En algunos casos, el actor de amenaza emplea t\u00e9cnicas de redirecci\u00f3n de URL para ocultar qu\u00e9 recurso en la nube fue secuestrado.<\/p>\n “Utilizamos el nombre Hazy Hawk para este actor debido a c\u00f3mo encuentran y secuestran recursos en la nube que tienen registros DNS CNAME y luego los usan en la distribuci\u00f3n de URL maliciosa”, dijo Informlox. “Es posible que el componente de secuestro de dominio sea proporcionado como un servicio y que sea utilizado por un grupo de actores”.<\/p>\n Las cadenas de ataque a menudo implican clonar el contenido de sitios leg\u00edtimos para su sitio inicial alojado en los dominios secuestrados, mientras atrae a las v\u00edctimas a visitarlas con contenido pornogr\u00e1fico o pirateado. Los visitantes del sitio se canalizan a trav\u00e9s de un TDS para determinar d\u00f3nde aterrizan a continuaci\u00f3n.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Hazy-Hawk-explota-registros-DNS-para-secuestrar-CDC-dominios-corporativos.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n