【安全资讯】Hazy Hawk黑客组织利用DNS配置漏洞劫持可信域名

概要：

Hazy Hawk黑客组织通过劫持被遗弃的DNS CNAME记录，成功控制了多个政府、大学及财富500强公司的子域名，进行诈骗、虚假应用和恶意广告的传播。这一事件不仅影响了多个知名机构的信誉，也对用户的安全造成了严重威胁。

主要内容：

Hazy Hawk黑客组织利用被遗弃的云服务的DNS CNAME记录进行攻击，首先通过被动DNS数据验证扫描出指向这些云端的域名。接着，他们注册一个与被遗弃CNAME相同名称的新云资源，使得原域名的子域名解析到黑客的新云托管网站。通过这种方式，Hazy Hawk成功劫持了多个域名，掩盖其恶意活动，或将其作为诈骗操作的重定向中心。

被劫持的域名包括美国疾病控制与预防中心（cdc.gov）、加州大学伯克利分校（berkeley.edu）及全球四大会计师事务所（ey.com, pwc.com, deloitte.com）等。黑客在控制子域名后，生成数百个看似合法的恶意网址，这些网址因母域名的高信任度而在搜索引擎中显得可信。受害者点击这些链接后，会被重定向到多个域名和TDS基础设施，黑客根据受害者的设备类型、IP地址等信息进行画像，以便筛选目标。

根据Infoblox的报告，这些网站被用于技术支持诈骗、虚假杀毒警报、假冒流媒体/色情网站及钓鱼页面。受害者在允许浏览器推送通知后，即使离开诈骗网站也会收到持续的警报，这为Hazy Hawk带来了可观的收入。研究人员指出，CNAME记录容易被忽视，因此容易被黑客利用，而Hazy Hawk的成功也依赖于组织在云服务停用后未能删除DNS记录，使得攻击者能够在没有身份验证的情况下复制原始资源名称。