記事本文(要約)
脅威アクター「Hazy Hawk」が、放置されたクラウドサービスに向かう忘れられたDNS CNAMEレコードを悪用し、政府機関や大学、Fortune 500企業の信頼されたサブドメインを乗っ取り、詐欺、偽アプリ、悪意のある広告を配信しています。Infobloxの研究者によると、Hazy Hawkはまず、放棄されたクラウドエンドポイントに向かうCNAMEレコードを持つドメインをスキャンし、その後、同じ名前の新しいクラウドリソースを登録します。この結果、元のサブドメインは攻撃者の設定したクラウドサイトに解決されます。これにより、彼らは複数のドメインをハイジャックし、詐欺コンテンツやリダイレクトハブとして利用しました。感染したドメインにはcdc.gov(米国疾病予防管理センター)、honeywell.com(多国籍企業)、berkeley.edu(カリフォルニア大学バークレー校)などが含まれます。被害者がこれらのURLをクリックすると、デバイスタイプやVPN使用などに基づいてプロファイリングされます。この手法により、技術サポート詐欺、偽のウイルス警告、フィッシングページがセットアップされるほか、ブラウザのプッシュ通知を悪用した持続的な警告が出現します。脆弱性の悪用は組織がクラウドサービス終了後にDNSレコードを削除しないことに起因しており、「Savvy Seahorse」と呼ばれる別の脅威アクターも同様の手法を使用しています。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 20 May 2025 11:57:09 -0400
Original URL: https://www.bleepingcomputer.com/news/security/hazy-hawk-gang-exploits-dns-misconfigs-to-hijack-trusted-domains/
詳細な技術情報
このセキュリティインシデントにおいて、脆弱性の際立ったポイント、攻撃の手法、潜在的な影響、そして推奨される対策を以下に説明します。
CVE番号
このインシデントに関連する具体的なCVE番号は、文章中では示されていません。CVE番号は通常、特定のソフトウェアやハードウェアの脆弱性に対して割り当てられますが、こちらのケースでは、広く普及しているDNS設定に関連する一般的な問題を悪用しています。
脆弱性の仕組み
この攻撃は、忘れられたDNSのCNAMEレコードを悪用しています。具体的には、CNAMEレコードがクラウドサービスに指していて、そのサービスが廃止されたまま更新されていない場合、攻撃者はそのサービスを新たに登録し、同じCNAMEを用いて信頼されているサブドメインをハイジャックします。
攻撃手法
- DNSデータのスキャンと解析: 攻撃者(Hazy Hawk)は、CNAMEレコードが放置されたドメインをパッシブなDNSデータの検証によって探し出します。
- 新規クラウドリソースの登録: 次に、廃止されたCNAMEと同じ名前の新しいクラウドリソースを登録します。
- サブドメインの乗っ取り: これにより、元のドメインのサブドメインは攻撃者がホストする新しいクラウドサイトに解決されます。
- 悪意ある活動の実行: 乗っ取られたドメインを使用して、詐欺コンテンツのホスティングやスカムのリダイレクトハブとして利用されます。
潜在的な影響
- 信頼性の損失: 乗っ取られたドメインは政府機関や大企業の公式ドメインであるため、ブランドイメージや信頼性に大きな損害を与える可能性があります。
- フィッシングや詐欺: 被害者が信頼できると思い込んでリンクをクリックし、詐欺サイトや偽アプリのダウンロードページに誘導されます。
- 持続的な通知の表示: ブラウザプッシュ通知を許可してしまったユーザーには、詐欺的な通知が持続的に表示され、攻撃者に利益をもたらします。
推奨される対策
- CNAMEレコードの定期的な監査: 組織は、クラウドサービスを廃止した際には関連するDNSレコードが適切に削除されているか確認するプロセスを確立するべきです。
- DNS設定の管理強化: 定期的にDNS設定を見直し、不要なレコードが残っていないかチェックすることが重要です。
- セキュリティ教育の実施: フィッシングや詐欺に対して警戒するよう、社員やユーザーに対するセキュリティ教育を強化します。
- クラウド認証手続きの強化: クラウドサービス利用にあたって、適切な認証プロセスを導入し、不正アクセスを防ぎます。
- セキュリティソフトの採用: 組織全体にわたり、最新のセキュリティ対策が適用されたソフトウェアを導入することで、異常なアクティビティを早期に発見します。
