Hazy Hawk团伙利用DNS错误配置劫持可信域记录

一个名为“Hazy Hawk”的黑客劫持了被遗忘的DNS CNAME记录，这些记录指向被抛弃的云服务，并接管了政府、大学和财富500强公司的可信子域名，以分发诈骗、虚假应用程序和恶意广告。

根据Infoblox研究人员的说法，Hazy Hawk首先扫描带有指向废弃云端点的CNAME记录的域，他们通过被动DNS数据验证来确定。

接下来，他们注册一个与废弃CNAME中的名称相同的新云资源，导致原始域的子域解析到威胁者的新云托管站点。

使用这种技术，威胁者劫持多个域名来掩盖恶意活动，托管诈骗内容，或将它们用作诈骗操作的重定向中心。

被劫持域名的部分值得注意的例子包括：

·cdc.gov -美国疾病控制和预防中心

·honeywell.com-跨国企业集团

·berkeley.edu -加州大学伯克利分校

·michelin.co.uk -米其林轮胎英国

·ey.com、pwc.com、deloitte.com——全球四大咨询公司

·ted.com –著名的非营利媒体组织（TED演讲）

·Health .gov.au -澳大利亚卫生部

·unicef.org -联合国儿童基金会

·nyu.edu -纽约大学

·unilever.com -全球消费品公司

·ca.gov -加利福尼亚州政府

一旦攻击者获得对子域的控制，他们就会在子域下生成数百个恶意url，由于父域的高信任度，这些url在搜索引擎中看起来是合法的。

点击url的受害者会被重定向到多个层次的域名和TDS基础设施，这些基础设施会根据他们的设备类型、IP地址、VPN使用情况等对他们进行分析，以确定受害者的资格。

Hazy Hawk袭击的概况

Infoblox的报告称，这些网站被用于技术支持诈骗、虚假的防病毒警报、虚假的流媒体/色情网站和网络钓鱼页面。且允许浏览器推送通知的用户即使在离开诈骗网站后也会收到持续的警报，这可以为Hazy Hawk带来可观的收入。

活动中的推送通知例子

同样的研究人员之前报告了另一个威胁者——“Savvy Seahorse,”，他也滥用CNAME记录来建立一个非典型的TDS，将用户重定向到虚假的投资平台。

CNAME记录很容易被忽视，因此它们容易被暗中滥用，似乎越来越多的威胁者意识到这一点，并试图利用这一点。

在“Hazy Hawk”的案例中，该行动的成功还依赖于组织在云服务退役后未能删除DNS记录，这使得攻击者可以在没有身份验证的情况下复制原始资源名称。