Hazy Hawk黑客团伙正在利用DNS CNAME记录的配置漏洞,劫持指向被遗弃云服务的可信域名。这一恶意行为已影响到多个政府机构、大学以及财富500强公司,这些被劫持的域名被用于传播诈骗、假应用及恶意广告。据Infoblox研究人员透露,Hazy Hawk通过被动DNS数据验证扫描指向废弃云端点的CNAME记录,然后注册与被遗弃CNAME同名的新云资源,从而使原子域名解析到黑客新建的云托管站点。
一旦黑客团伙掌控了子域,他们便在其下生成数百个恶意URL,这些URL因母域的高信任度而在搜索引擎中显得合法。点击这些链接的受害者会被重定向至多个域层和TDS基础设施,这些基础设施会根据设备类型、IP地址及VPN使用情况等对其进行画像,以筛选出合适的受害者。
这些网站被用于技术支持诈骗、虚假杀毒警告、假流媒体/色情网站及钓鱼页面。被诱导允许浏览器推送通知的用户即便离开诈骗网站后仍会接收到持续的通知,这为Hazy Hawk创造了可观的收入。来源