Infoblox Threat Intel

Hazy Hawk は DNS に関する高度な知識を持つ脅威アクターです。Infoblox が最初に検知した活動では、米国疾病センター（CDC）のサブドメインをハイジャックしました。これは、Deloitte、Berkeley、UNICEF など著名な組織が以前使用していたクラウドリソース（Azure、AWS、GitHub、Cloudflare など）に向けられた、放置された CNAME レコード（ダングリング CNAME）を悪用したものです。Hazy Hawk は、そうした放棄済みリソース名を再登録することで、正規のように見えるサブドメインを乗っ取り、親ドメインの信頼性や SEO による可視性を活用して数百件もの悪意ある URL を展開します。被害者は、トラフィック配信システム（TDS）を介して、テクニカルサポート詐欺、偽のウイルス対策ページ、マルウェア配布サイト、フィッシングページ、ポルノ/偽ストリーミングサイトへと誘導されます。

• 動作確認：2023 年以降
• Infoblox による検出：2025 年 2 月
• Infoblox による公開：2025 年 5 月
• 普及率：まれ