安全研究人員發現,一個名為「Hazy Hawk」的威脅組織正在劫持指向已廢棄雲服務的DNS CNAME記錄(規範名稱記錄),藉此接管政府機構、大學和財富500強企業的可信子網域,用來散布詐騙內容、假冒應用程式和惡意廣告。
根據Infoblox研究人員的報告,Hazy Hawk首先掃描具有指向已廢棄雲端服務的CNAME記錄的網域,他們通過被動DNS數據驗證來確定這些記錄。接著,他們註冊一個與廢棄CNAME中相同名稱的新雲資源,導致原始網域的子網域解析到威脅行為者新託管的雲端站點。
這種被稱為「指向無效目標的CNAME記錄」的危險DNS錯誤配置,本質上是指向不存在或已廢棄外部網域的DNS項目。當攻擊者發現這類記錄時,可以聲明引用的網域並將流量重定向到惡意站點。 這類似於個人留下轉寄地址到一個他們不再居住的位置,然後攻擊者入住該地址就能接收所有轉寄的信件。具體來說,Hazy Hawk攻擊者正在利用這些無效的CNAME記錄,劫持了多個網域。
受害組織
使用這種技術,威脅行為者劫持了多個網域來掩蓋惡意活動、託管詐騙內容或將其用作詐騙操作的重定向中心。
被劫持的知名網域包括:
- cdc.gov – 美國疾病控制與預防中心
- honeywell.com – 跨國企業集團
- berkeley.edu – 加州大學伯克利分校
- michelin.co.uk – 米其林輪胎英國
- ey.com, pwc.com, deloitte.com – 全球「四大」諮詢公司
- ted.com – 著名非營利媒體組織(TED演講)
- health.gov.au – 澳洲衛生部
- unicef.org – 聯合國兒童基金會
- nyu.edu – 紐約大學
- unilever.com – 全球消費品公司
- ca.gov – 加州政府
威脅活動
一旦威脅行為者獲得子網域的控制權,他們會在其下生成數百個惡意URL,這些URL在搜尋引擎中顯示為合法,因為父域名具有高度信任評分。
點擊這些URL的受害者會被重定向經過多層網域和TDS(流量分發系統)基礎設施,這些系統會根據受害者的設備類型、IP地址、VPN使用情況等進行分析,以篩選合適的受害者。
舉例來說,用戶在搜尋引擎中搜尋利某足球比賽,然後收到承諾免費觀看比賽的偽造連結。當受害者點擊連結時,會被引導到一個假頁面,要求他們通過假的CAPTCHA證明他們是人類。之後,用戶會根據設備和位置等因素被引導到不同的詐騙途徑,包括惡意軟體下載、假應用程式、假防毒軟體、技術支援詐騙、約會或色情詐騙、加密貨幣詐騙等。
預防措施
為了防止像Hazy Hawk這樣的威脅行為者,組織應實施強大的DNS管理,包括定期審核DNS記錄,並及時移除已停用雲服務相關的記錄。此外,應教育用戶拒絕來自不熟悉網站的推送通知請求,以避免成為詐騙的受害者。
Infoblox研究人員表示,Hazy Hawk威脅行為者可能位於東歐,並與知名的俄羅斯網絡犯罪行為者有關聯。組織應特別注意雲服務停用後清除相關的DNS記錄,以防止攻擊者復制原始資源名稱而無需身份驗證。