Neue Cyber-Bedrohung „Hazy Hawk“ kapert Subdomains – Gefahr auch für Ihr Unternehmen?

22. Mai 2025

DNS-Angreifer „Hazy Hawk“ nutzt vergessene Cloud-Ressourcen für breit angelegte Kampagne

Ein bislang wenig beachteter Cyberangreifer mit dem Namen Hazy Hawk hat sich auf eine ausgeklügelte Methode spezialisiert: Er kapert verwaiste Cloud-Ressourcen wie Amazon-S3-Buckets oder Azure-Endpunkte, die Unternehmen nicht mehr aktiv nutzen – ein Einfallstor, das oft übersehen wird. Grundlage dieser Angriffe sind gezielt ausgenutzte Schwachstellen in der DNS-Konfiguration.

Das Vorgehen erinnert an klassisches Domain-Hijacking, doch statt gestohlener Zugangsdaten nutzt Hazy Hawk Fehler in der DNS-Infrastruktur. Solche Fehlkonfigurationen bleiben oft lange unentdeckt – nicht zuletzt, weil DNS-Sicherheit außerhalb der Fachwelt noch immer ein Nischenthema ist.

Die Angriffe erfordern technisches Know-how und Zugriff auf spezialisierte Dienste, etwa kommerzielle passive DNS-Datenbanken, was auf eine hohe Professionalisierung hindeutet.

Ein besonders aufsehenerregender Fall ereignete sich im Februar 2025: Hazy Hawk gelang es, Subdomains der renommierten US-Gesundheitsbehörde Centers for Disease Control and Prevention (CDC) zu übernehmen. In der Folge tauchten Hunderte betrügerischer URLs auf, gehostet unter CDC-Subdomains – und erhielten durch die hohe Glaubwürdigkeit der Behörde prominente Platzierungen in Suchergebnissen.

Wie eine anschließende Analyse zeigte, war die CDC kein Einzelfall. Seit mindestens Dezember 2023 wurden zahlreiche weitere Ziele kompromittiert, darunter internationale Konzerne, staatliche Stellen und führende Universitäten weltweit.

Die von Hazy Hawk kontrollierten Domains dienen primär dazu, über Traffic-Distribution-Systeme (TDS) arglose Nutzer auf Phishing- oder Malware-Seiten umzuleiten. Eine Grafik (siehe Abbildung 1) illustriert die Methodik dieses Akteurs und dessen globale Reichweite.

Abbildung 1: Übersicht über die Verwendung von gekaperten Cloud-Ressourcendomänen für böswillige Aktivitäten durch Hazy Hawk Quelle: infoblox

Die Entdeckung anfälliger DNS-Einträge ist ein komplexes Problem und deutet darauf hin, dass Hazy Hawk Zugriff auf einen großen passiven DNS-Dienst hat. Diese Art von Hijacks basiert auf falsch konfigurierten DNS-Einträgen und kann mehrere DNS-Einträge in einer Kette umfassen, die bei normalen Internet-Sondierungen nicht sichtbar ist. Darüber hinaus wirkt die Integration bösartiger Push-Benachrichtigungen in die Angriffskette als Kraftverstärker.

Das vielleicht Bemerkenswerteste an Hazy Hawk ist, dass diese schwer zu entdeckenden, anfälligen Domains mit Verbindungen zu angesehenen Organisationen nicht für Spionage oder „hochkarätige“ Cyberkriminalität genutzt werden. Stattdessen speisen sie die zwielichtige Unterwelt der Adtech-Branche, leiten Opfer zu einer Vielzahl von Betrugsmaschen und gefälschten Anwendungen weiter und lösen über Browser-Benachrichtigungen Prozesse aus, die noch lange nachwirken. Hazy Hawk ist ein Beispiel dafür, wie weit Betrüger gehen, um sich einen Teil des milliardenschweren Betrugsmarktes zu sichern. Allein in den Vereinigten Staaten verlieren Senioren jährlich Milliarden von Dollar durch Inhalte, wie sie Hazy Hawk verbreitet.¹

Hazy Hawk nutzt mehrschichtige Abwehrmechanismen, um seine Aktivitäten vor Entdeckung zu schützen. Durch die Übernahme sehr seriöser Domains umgehen und behindern sie Sicherheitsanalysen. Darüber hinaus verwendet Hazy Hawk Code von legitimen Websites, um seine eigenen Inhalte zu verschleiern. Die URLs leiten Besucher in der Regel über eine zweite Reihe von Domains weiter, bevor sie zur weiteren Weiterleitung in ein TDS gelangen. Wir haben festgestellt, dass eine Subdomain der etablierten Website js[.]org beispielsweise zur Bereitstellung gefälschter Videos und Spiele verwendet wurde, während Hazy Hawk in anderen Fällen offenbar selbst die Weiterleitungsseite eingerichtet hat.

Hintergrund: Wie die Spur zu Hazy Hawk führte

Der erste Hinweis auf die Aktivitäten des Angreifers Hazy Hawk kam von US-Sicherheitsjournalist Brian Krebs. Er bemerkte Anfang 2025, dass auf der offiziellen Domain der US-Gesundheitsbehörde CDC (cdc[.]gov) plötzlich zahlreiche URLs auftauchten – viele davon mit eindeutigen Inhalten: pornografische Videos und Werbung, unter anderem für ein britisches Fußballspiel (siehe Abbildung 2). Bemerkenswert war, dass diese Links nicht nur in den Suchergebnissen erschienen, sondern auch die offiziellen CDC-Anmeldedaten in den Metadaten enthielten.

Krebs vermutete zunächst einen klassischen offenen Relay auf der CDC-Website – also eine Konfiguration, bei der der Datenverkehr über die Domain beliebig weitergeleitet werden kann. Doch aus Sicht des Infoblox Threat Intelligence Teams deutete alles auf einen anderen Angriffsvektor hin: Fehlerhafte DNS-Einträge.

Diese Beobachtung war der Ausgangspunkt für unsere umfassende Untersuchung. Sie führte zu einem bislang kaum bekannten, aber technisch versierten Akteur, der es auf verwaiste Cloud-Ressourcen und schlecht gesicherte Subdomains abgesehen hat – Hazy Hawk.

Abbildung 2: Ein Beispiel für von Hazy Hawk gekaperte Domains in den Google-Suchergebnissen am 16. Februar 2025.

Warum haben wir einen DNS-Hijacking vermutet? Alle URLs befanden sich auf einer seltsamen Subdomain der primären Domain ahbazuretestapp[.]cdc[.]gov. Dies ist keine Subdomain, die ein Angreifer normalerweise wählen würde, daher haben wir nach aktiven CNAME-Einträgen gesucht. Es stellte sich heraus, dass die Subdomain auf eine Azure-Website verweist. Die Azure-Domain war der Ort der Entführung. Wie in Abbildung 3 dargestellt, führen DNS-Abfragen für ahbazuretestapp[.]cdc[.]gov zu ahbdotnetappwithsqldb[.]azurewebsites[.]net.

Abbildung 3: Die IP-Auflösungskette für ahbazuretestapp[.]cdc[.]gov am 16. Februar 2025

Zu diesem Zeitpunkt waren wir sicher, dass die CDC ihren Azure-Dienst aufgegeben hatte und dass der Hacker dann den entsprechenden, sogenannten „dangling“ DNS-Eintrag gefunden hatte. Das Hijacking war so einfach wie die Erstellung eines Azure-Kontos und einer Website mit dem gleichen Namen. Aber wie funktioniert das alles?

CNAME-Hijacking

CNAME-Einträge sind eine Art von DNS-Einträgen, die einen Domainnamen (den Alias) einem anderen (dem CNAME) zuordnen. Ganz einfach ausgedrückt handelt es sich um eine Möglichkeit, einem Resolver mitzuteilen, dass jemand, der auf etwas[.]on-your-domain[.]com zugreifen möchte, dies irgendwo[.]on-another-domain[.]com finden kann. Siehe Abbildungen 4 und 5. Diese Einträge werden häufig von Content Delivery Networks (CDNs) verwendet, um große Dateien zu verteilen, die Sie nicht selbst verarbeiten möchten.²

Abbildung 4. Vereinfachte Darstellung der DNS-CNAME-Auflösung

 

Abbildung 5. Beispiel einer CNAME-Kette für Cloud-Ressourcen

Wenn ein DNS-CNAME-Eintrag vorhanden ist, die Ressource, auf die er verweist, jedoch nicht, wird der Eintrag als „dangling“ (hängend) betrachtet. Ein Angreifer registriert die fehlende Ressource, um die Domain zu kapern. Herkömmliche „dangling CNAME“-Angriffe nutzen Fälle aus, in denen der DNS-Eintrag auf eine Domain verweist, die nicht registriert ist. Das E-Mail-Sicherheitsunternehmen Guardio berichtete über einen Angreifer, der diese Technik nutzte, um große Marken bei der Verbreitung von Spam zu imitieren.³ In diesem Fall hatte beispielsweise marthastewart[.]msn[.]com einen CNAME-Eintrag, der auf msnmarthastewartsweeps[.]com verwies. Die letztere Domain war nicht von MSN registriert worden, aber der DNS-Eintrag war nicht entfernt worden. Durch die Registrierung der aufgegebenen Domain konnte der Spammer E-Mails als MSN versenden. Für nur wenige Dollar verschaffte sich der Spammer einen enormen Vorteil.

Domain-Hijacking klingt so einfach: Man findet einen falsch konfigurierten DNS-Eintrag, registriert eine Domain und schon kann es losgehen! Um diese Domains zu kapern, müssen Angreifer jedoch zunächst den veralteten CNAME-Eintrag finden. Selbst mit kostenlosen, öffentlich verfügbaren Tools sind dafür Aufwand und Zugriff auf DNS-Daten erforderlich. Bei herkömmlichen CNAME-Hijacks können potenzielle Einträge überprüft werden, indem die Alias-Domain abgefragt wird, um festzustellen, ob sie registriert ist. Eine DNS-Antwort mit NXDOMAIN ist ein eindeutiges Zeichen dafür, dass die Domain reif für einen Hijack ist.

Aber Hazy Hawk ist kein herkömmlicher Hijacker, und das Hijacken von Cloud-Ressourcen ist nicht so einfach wie die Suche nach einer NXDOMAIN-Antwort. Das Identifizieren verlassener Cloud-Ressourcen ist wesentlich schwieriger als das Identifizieren nicht registrierter Domains. Jeder Cloud-Anbieter geht mit fehlenden Ressourcen anders um. Während einige wenige Anbieter mit einer NXDOMAIN-Antwort reagieren, antworten die meisten mit einer IP-Adresse. Darüber hinaus gibt es noch weitere Herausforderungen bei der Isolierung anfälliger DNS-Einträge. Einige große Cloud-Anbieter wie Azure haben spezielle Mechanismen implementiert, um Hijacking auch dann zu verhindern, wenn ein veralteter Eintrag vorhanden ist.

Wir werden keine Methoden zur Isolierung ausnutzbarer CNAME-Einträge veröffentlichen. Es genügt zu sagen, dass dies umfangreichen passiven DNS-Zugriff und Einfallsreichtum erfordert. Das Auffinden von Cloud-Ressourcen, die für Hijacking anfällig sind, ist wesentlich arbeitsintensiver als das Auffinden von unzulänglichen Nameserver-Delegierungen, die für einen Sitting-Ducks-Angriff anfällig sind.⁴ Hazy Hawk und andere Akteure, die Cloud-Ressourcen hijacken, müssen aufgrund der unterschiedlichen Vorgehensweisen der einzelnen Cloud-Anbieter beim Umgang mit gelöschten Ressourcen wahrscheinlich erhebliche manuelle Arbeit leisten, um anfällige Domänen zu validieren. Im Gegensatz dazu identifizieren wir durch Zufallsstichproben täglich Tausende von Domänen, die für einen Sitting-Ducks-Angriff anfällig sein könnten, und seit 2020 wurden Zehntausende von Domänen gekapert.

Hazy Hawk

Kommen wir nun zu Hazy Hawk. Diese Gruppe ist sehr gut darin, verlassene Cloud-Ressourcen aufzuspüren. Seit mindestens Dezember 2023 haben wir Angriffe auf Dutzende großer Organisationen beobachtet.⁵ Sie haben Domains (eine vollständige Liste finden Sie im Abschnitt „Indikatoren“) von folgenden Organisationen übernommen:

• Bundes- und regionale Regierungsbehörden weltweit, darunter alabama[.]gov und health[.]gov[.]au
• Universitäten: berkeley[.]edu und ucl[.]ac[.]uk
• Unternehmen und Organisationen im Gesundheitswesen: cdc[.]gov und dignityhealth[.]org
• Medien und andere große Unternehmen: deloitte[.]com, ey[.]com, pwc[.]com und ted[.]com

Hazy Hawk hat Ressourcen auf diesen Diensten und möglicherweise auch auf anderen Diensten missbraucht:

• Akamai
• Amazon EC2, S3 und Elastic Beanstalk
• Azure (verschiedene Cloud-Dienste)
• Bunny CDN
• Cloudflare CDN
• Git
• Netlify

Wir verwenden den Namen Hazy Hawk für diesen Akteur, da er Cloud-Ressourcen mit veralteten DNS-CNAME-Einträgen findet und kapert, um sie dann für die Verbreitung bösartiger URLs zu nutzen. Es ist möglich, dass die Komponente zum Kapern von Domains als Dienst angeboten und von einer Gruppe von Akteuren genutzt wird.

Hazy Hawk erstellt eine große Anzahl von URLs auf der seriösen Ressource. Diese URLs führen durch Verbindungen zu anderen Akteuren zu einer Vielzahl von Betrugsversuchen und Malware. Das erste Bild in Abbildung 1 zeigt einen Überblick über ihre Vorgehensweise. Die URLs sind durch die Integration von dubiosen Adtech-Diensten verschleiert, d. h. ihre wahre Natur wird verborgen. Der Besuch eines der CDC-Links führte beispielsweise zu einem von Adsterra betriebenen TDS. Die Navigation zu dem Link über ein VPN führte zu einer Webseite mit dem Text „Anonymer Proxy erkannt“, während eine private IP-Adresse zu einem Labyrinth aus bösartigen Inhalten führte, die vom Gerät und Standort abhängig waren. Wir haben Beispiele für dieses Umleitungsverhalten erfasst (siehe diese Screenshots), indem wir auf einem Android-Smartphone auf eine der URLs geklickt haben.

Hazy Hawk verwendet mehrschichtige Abwehrmechanismen, um seine Aktivitäten zu verschleiern, darunter

• Hijacking von Subdomains beliebter, seriöser Domains, die mit Cloud-Ressourcen verbunden sind
• Verschleierung von URLs
• Verwendung von Inhalten anderer seriöser Websites als Grundlage für die Startseite
• Weiterleitung über mindestens eine andere URL unter Verwendung eines bekannten Dienstes
• Weiterleitung zu einem TDS, der die endgültige Zielseite verschleiern soll

URL-Verschleierung

In bestimmten Fällen werden die bösartigen URLs verschleiert, um weniger offensichtlich zu machen, welche Cloud-Ressource gekapert wurde. Eine Möglichkeit, dies zu erreichen, ist die URL-Umleitung. Im Januar 2025 haben wir beispielsweise beobachtet, wie Hazy Hawk ein offenes Relay auf der Website der Universität Bristol ausnutzte, um Opfer auf die von ihnen gekaperte Domain agri-offers[.]michelin[.]co[.]uk umzuleiten. Siehe Abbildung 6. Der Missbrauch offener Relays ist nicht neu. Brian Krebs dokumentierte deren Verwendung durch Spam-Akteure bereits 2016.

Abbildung 6: Von Hazy Hawk mithilfe von URL-Umleitung gekaperte Domains

 

Ein weiterer Verschleierungstrick, den sie verwenden, ist spezifisch für AWS S3-Buckets. Ihre bösartigen URLs sind manchmal so geschrieben, dass sie nicht direkt auf den Namen der gekaperten Ressource verweisen. Beispielsweise hat Hazy Hawk im März 2025 den S3-Bucket „oercommons“ gekapert, aber anstatt diesen Domainnamen in den verbreiteten Betrugs-URLs zu verwenden, wie hier:

Https[:]//oercommons[.]s3[.]amazonaws[.]com/<params>

verwendeten sie ein alternatives Format wie dieses:

Https[:]//s3-ap-southeast-2[.]amazonaws[.]com/oercommons/<params>

Dieses Format verbirgt den Bucket-Namen und verhindert eine Blockierung auf Basis des vollqualifizierten Domainnamens des Buckets. Clever! Abbildung 7 zeigt ein weiteres Beispiel und enthält andere Domains, die beim Laden der URL kontaktiert wurden.⁶

Abbildung 7. Verschleierung der AWS-Subdomain; der Name des gekaperten Buckets ist im URL-Pfad versteckt https://urlquery.net/report/64ae0264-9f2a-4234-b8b6-8b8a8030a2f4

Diebstahl legitimer Webinhalte

Hazy Hawk nutzt legitime, oft bekannte Websites als Grundlage für die ersten Inhalte ihrer Websites. Anschließend modifizieren sie die Website so, dass sie auf eine zweite Adresse weiterleitet. Für einen Content-Crawler erscheint der Großteil der Website legitim.

In einigen Fällen verwendeten sie einen Klon (eine reine Kopie des HTML-Codes) einer Seite, beispielsweise der New York Times,⁷ für ihre eigene Hauptseite. Das mag zwar einen Content-Crawler täuschen (was wahrscheinlich auch das Ziel ist), aber echte Menschen lassen sich davon nicht so schnell täuschen. Wir haben beobachtet, dass Hazy Hawk dies bis Mitte Februar bei einigen der von ihnen übernommenen Domains getan hat. Es ist unklar, ob sie dies nur bei Domainnamen getan haben, die sie für nicht wertvoll hielten, oder ob sie es bis zu diesem Zeitpunkt bei allen ihren Domains getan haben, aber diese Art des Klonens von Inhalten ist keine besonders gute Tarnung.

In letzter Zeit haben wir beobachtet, dass sie sich etwas mehr Mühe geben und zumindest ein wenig Recherche zu den Unternehmen betreiben, denen die von ihnen gekaperten Domains gehören. Als sie beispielsweise eine Subdomain von honeywell[.]com gekapert haben, landete der Nutzer beim Aufrufen der Seite in einem Browser auf einer Website, die sich als Honeywell ausgab (der HTML-Code war keine Kopie, sondern imitierte die ursprüngliche Honeywell-Website). Die zugegebenermaßen einfache Website⁸ handelt von Thermostaten, Smart-Home-Geräten und anderen Dingen, die man auf einer Honeywell-Domain erwarten würde.

Abgesehen von der Verschleierung der Startseiten verwenden die meisten Webseiten, die auf den gekaperten Domains gehostet werden, dieselbe Vorlage und dieselben HTML-Header. Hazy Hawk lockt seine Opfer mit dem Versprechen eines verlockenden Videos (oft Pornografie oder Raubkopien). Anstatt jedoch eine Video-Streaming-Website von Grund auf neu zu erstellen, hat Hazy Hawk einfach PBS kopiert. Die von ihnen verwendete Website-Vorlage ist buchstäblich eine Kopie von pbs[.]org. Sie laden dieselben Bibliotheken, dieselben Stylesheets und dieselben Schriftarten, manchmal direkt von pbs[.]org (siehe Abbildung 7: Verschleierung der AWS-Subdomain). Das Einzige, was sie offenbar nicht gestohlen haben, ist der Videoplayer von PBS, was überraschend sein mag. In Wirklichkeit brauchen sie aber keinen Videoplayer: Die „Videos“ auf ihren Websites sind nur verschwommene Bilder von Videos mit einer Wiedergabetaste in der Mitte.

Erste Weiterleitung

Die ursprüngliche URL leitet häufig über eine zweite Domain weiter. Manchmal ist die erste Weiterleitung selbst eine Entführung. Dies war der Fall, als im November 2024 eine Website der französischen Regierung für die Olympischen Spiele gekapert wurde. Nach dem Vorfall wurde die Website abgeschaltet, aber der DNS-Eintrag wurde nicht entfernt. Hazy Hawk erstellte URLs, die Nutzer zu https[:]//share[.]js[.]org/watch/ weiterleiteten, wo gefälschte CAPTCHAs angezeigt wurden, die Berechtigung zum Versenden von Benachrichtigungen angefordert wurde und die Nutzer schließlich zur Betrugsdomaine weitergeleitet wurden. Wenn ein Nutzer die URL über ein VPN aufrief, wurde er über TDS-Domains blockiert, die von einem Akteur betrieben werden, den wir als Venal Viper verfolgen.⁹

Wie hat Hazy Hawk also Zugriff auf share[.]js[.]org erhalten? Wie sich herausstellte, haben sie auch diesen gestohlen. Die Domain js[.]org bietet JavaScript-Entwicklern kostenlosen Webspace.¹⁰ Die Entwickler verwenden eine Subdomain von js[.]org, um auf ihr GitHub-Repo zu verweisen.¹¹ Ein etablierter chinesischer Entwickler, Jeff Tian, hatte vor sechs Jahren die Subdomain „share“ beansprucht und share[.]js[.]org mit seinem Tool WeShare verknüpft.¹² Irgendwie gelang es Hazy Hawk im November 2024, die Kontrolle über die Subdomain zu erlangen, und begann, sie zu nutzen, um Besucher von der Website der französischen Regierung auf betrügerische Inhalte umzuleiten. Als wir Jeff dazu befragten, sagte er, dass er im Januar von den Betreibern von js[.]org darauf hingewiesen worden sei, dass seine Seite „Sports-News powered by WordPress“ anstelle der ursprünglichen Inhalte anzeige.¹³

In vielen Fällen leitet die gekaperte Cloud-Domain zu einer Domain in Blogspot weiter, die wahrscheinlich von einem Bedrohungsakteur kontrolliert wird.¹⁴ Beispielsweise diente die Domain chesta-korci-bro[.]blogspot[.]com als erste Weiterleitung für viele der CDC-URLs und wurde erst einen Monat zuvor im passiven DNS beobachtet.¹⁵ Mitte April war diese Blogspot-Domain noch aktiv, und der Besuch einzelner Blogeinträge führte die Nutzer zu ähnlichen Betrugsversuchen.¹⁶

In einigen Fällen haben wir eine Zwischenumleitung über einen von mehreren Linkverkürzern beobachtet, darunter den (ehemals zu Twitter gehörenden) URL-Verkürzungsdienst t[.]co, TinyURL, Bitly und Cuttly, bevor der Nutzer auf die vom Angreifer kontrollierte Umleitungsseite weitergeleitet wurde.¹⁷

Datenverkehrverteilungssysteme

Unabhängig von der ersten Umleitung werden potenzielle Opfer in der Regel an ein TDS weitergeleitet, das entscheidet, wohin sie als Nächstes geschickt werden. Die Landing Page hat oft nichts mit dem ursprünglichen Köder zu tun. Beispielsweise kann das Angebot, hochkarätige Sportveranstaltungen anzusehen, zu Sicherheits- oder Geschenkkartenbetrug führen. Ein TDS ist darauf ausgelegt, den Gewinn für die beteiligten Parteien zu maximieren, indem es Opfer mit den „Inhalten“ verbindet, die sie am ehesten „kaufen“ würden, und gleichzeitig das Netzwerk vor der Entdeckung durch Sicherheitsanbieter schützt. Diese Kombination aus Gewinn- und Sicherheitsmotiven schafft dynamische Umstände, unter denen es schwierig sein kann, die Erfahrung eines Benutzers nachzuvollziehen – der erste Besuch kann zu einem Betrug führen, der zweite zu einer Amazon-Shopping-Seite.

Viele der Hazy Hawk-URLs, die die gekaperte Subdomain cdc[.]gov nutzen, leiten über eine von den Angreifern kontrollierte Blogspot-Seite weiter und gelangen dann zu viralclipnow[.]xyz. Durch die Stichprobenentnahme von URL-Navigationspfaden, die diese Domain enthalten, können wir uns ein Bild davon machen, wie die TDS-Domains mit den gekaperten Domains, den ersten Weiterleitungen und den Landing Pages zusammenhängen. Die Grafik in Abbildung 8 zeigt Verweise und Weiterleitungen verschiedener URLs, die mit viralclipnow[.]xyz verbunden sind.

Abbildung 8. Teilansicht der TDS-Verbindungen von viralclipnow[.]xyz; die Grafik zeigt Verweise und Weiterleitungen von besuchten URLs, die auf einer Reihe von primären Domains gehostet werden, darunter cdc[.]gov

Abbildung 9 unten zeigt den Ausschnitt aus Abbildung 8 oben, der die Domain cdc[.]gov enthält. Darin ist zu sehen, wie Blogspot-Domains als Zwischenumleitungen verwendet wurden, bevor die Nutzer auf viralclipnow[.]xyz und andere Domains gelangten. Die Grafik zeigt auch einige der betrügerischen Landingpages, darunter clean-out[.]xyz und turbo-vpn-app[.]com. Andere dort angezeigte Domains sind Teil des TDS. Als die xyz-Registrierungsstelle viralclipnow[.]xyz im Februar geschlossen wurde, wechselte der Angreifer zu anderen Domains.

Abbildung 9. (Vergrößerung aus Abbildung 8) Teilansicht des TDS mit viralclipnow[.]xyz und Subdomains von cdc[.]gov

Push-Benachrichtigungen

Hazy Hawk ist einer von Dutzenden von Bedrohungsakteuren, die wir in der Welt der Werbe-Affiliates verfolgen. Wie wir bereits berichtet haben, leiten Bedrohungsakteure, die zu Affiliate-Werbeprogrammen gehören, Nutzer zu maßgeschneiderten schädlichen Inhalten weiter und werden dafür belohnt, dass sie im Umleitungspfad Aufforderungen zum Zulassen von Push-Benachrichtigungen von „Websites“ einfügen. Opfer, die diese Benachrichtigungen akzeptieren, oft durch eine List des Angreifers, werden mit Browser-Push-Benachrichtigungen überschwemmt, die jeweils zu einem anderen Betrug führen. Programme zur sogenannten Push-Monetarisierung können 70 bis 90 Prozent der Einnahmen an den Partner weitergeben, der die Zustimmung des Opfers erhalten hat. Push-Benachrichtigungen bieten im Wesentlichen einen Persistenzmechanismus für die bösartige Adtech-Welt, um ein Opfer wiederholt anzusprechen.

Mehrere Beispiele für Push-Benachrichtigungen, die bei der CDC-Hijacking-Kampagne beobachtet wurden, sind in Abbildung 10 dargestellt. Weitere Beispiele finden Sie hier. Die Push-Benachrichtigungsdienste werden von verschiedenen Akteuren betrieben; wir haben Rest-Push-Benachrichtigungen sowohl von RollerAds als auch vom russischen Untergrundbetreiber MoneyBadgers gesehen. Während Betreiber wie Hazy Hawk für den ersten Köder verantwortlich sind, wird der Nutzer, der darauf klickt, in ein Labyrinth aus dubiosen und eindeutig bösartigen Adtech-Diensten geführt. Die Tatsache, dass Hazy Hawk erhebliche Anstrengungen unternimmt, um anfällige Domains zu finden und diese dann für Betrugsoperationen zu nutzen, zeigt, dass diese Werbeprogramme für Partner ausreichend erfolgreich sind, um sich finanziell zu lohnen.

Abbildung 10. Push-Benachrichtigungen nach dem Besuch einer Hazy Hawk-URL behaupteten, dass der Laptop gehackt worden sei; ein Klick auf die Benachrichtigung führte zu Betrugsversuchen im Bereich Technischer Support und Antivirus.

 

Die Statistiken des US-amerikanischen Federal Bureau of Investigation (FBI) zu den vielfältigen Betrugsmaschen, die durch Hazy Hawk ermöglicht werden, zeigen, dass solche Straftaten rapide zunehmen, insbesondere unter älteren Menschen.¹⁸ Im Jahr 2023 beliefen sich die gemeldeten Gesamtverluste durch verschiedene Betrugsdelikte gegen Menschen über 60 in den Vereinigten Staaten auf über 3,4 Milliarden US-Dollar. Abbildung 11 zeigt diese Straftaten nach Kategorien. Eine bemerkenswerte Anzahl davon sind Fälle, die Hazy Hawk zusammen mit anderen Akteuren im Bereich der Affiliate-Werbung begeht.

Abbildung 11. Verluste nach Kategorie gemäß dem Elder Fraud Report 2023

Prävention und Schutz

Es gibt zwei Arten von Opfern von Hazy Hawk-Aktivitäten: diejenigen, deren Domains gekapert werden, und die Nutzer, die die bösartigen URLs besuchen.

Für Domain-Besitzer ist ein gut verwaltetes DNS der beste Schutz vor Hazy Hawk und ähnlichen DNS-Hijacking-Angreifern. Dies kann in komplexen, multinationalen Unternehmen schwierig sein, in denen die Verwaltung von Projekten, die Domain-Registrierung und die DNS-Einträge möglicherweise in verschiedenen Abteilungen liegen. Diese Angriffe treten häufig nach Fusionen und Übernahmen auf. Wir empfehlen die Einrichtung von Prozessen, die eine Benachrichtigung auslösen, um einen DNS-CNAME-Eintrag zu entfernen, wenn eine Ressource abgeschaltet wird, sowie die Verfolgung aktiver Ressourcen.

Der beste Weg, Endbenutzer vor Hazy Hawk zu schützen, sind schützende DNS-Lösungen. Bedrohungsakteure, die im Bereich Affiliate-Marketing tätig sind, nutzen TDS, um ihre Gewinne zu maximieren, und DNS ist die optimale Lösung, um alle Aktivitäten über diese Systeme zu unterbinden. Wenn die in einem schützenden DNS-Produkt verwendeten Bedrohungsinformationen so konzipiert sind, dass sie TDS-Akteure verfolgen und erkennen, wie dies bei Infoblox Threat Intel der Fall ist, können Hazy Hawk und andere ihre Domainnamen ändern und dennoch gestoppt werden.

Aufklärung ist eine letzte Komponente. Fordern Sie Benutzer dringend auf, Benachrichtigungsanfragen von Websites, die sie nicht kennen, abzulehnen. Wenn sie Nachrichten erhalten, können unerwünschte Benachrichtigungen in den Browsereinstellungen deaktiviert werden.

Indikatoren – Bösartige Indikatoren finden Sie in unserem GitHub-Repository.

Fußnoten

1. https://www.ic3.gov/AnnualReport/Reports/2023_IC3ElderFraudReport.pdf
2. https://blogs.infoblox.com/threat-intelligence/how-scammers-hijack-major-brands/
3. https://labs.guard.io/subdomailing-thousands-of-hijacked-major-brand-subdomains-found-bombarding-users-with-millions-a5e5fb892935
4. https://blogs.infoblox.com/threat-intelligence/who-knew-domain-hijacking-is-so-easy/
5. https://urlscan.io/result/ea226950-2de8-4a39-8ad1-5282c1d394fb
6. https://urlquery.net/report/64ae0264-9f2a-4234-b8b6-8b8a8030a2f4
7. https://urlscan.io/result/3f9ac7ce-4a27-44c1-be46-983306fc362d
8. https://urlscan.io/result/0195d776-08e9-7aaa-a2bd-0ab7c495e4af/
9. https://urlscan.io/result/b1ce81c9-a187-454e-817d-07f27d360d34/
10. https://js.org/
11. https://github.com/js-org/js.org/wiki
12. https://github.com/Jeff-Tian/weshare
13. https://github.com/js-org/js.org/issues/9512
14. https://urlscan.io/result/7d69ac72-0bef-43d7-a215-9de321cf7d39/
15. https://urlscan.io/result/d2fbd8b3-8599-4ea9-bbb8-d1b2a7881b83/
16. https://urlscan.io/result/01962c74-19c8-749e-89a6-f3090c6893a9
17. https://urlscan.io/result/b425cad3-2d0f-41ca-ba18-e61ad349956f
18. https://www.ic3.gov/AnnualReport/Reports/2023_IC3ElderFraudReport.pdf

Quelle: Infoblox

Telegram-Tango: Tanz mit einem Betrüger (Scammer)

Anlagebetrug 2.0: Die dunkle Seite sozialer Netzwerke

Ein Phishing-as-a-Service-Dienst nutzt DNS-over-HTTPS, um Sicherheitsmaßnahmen zu umgehen

---

Bild/Quelle: https://depositphotos.com/de/home.html

---