DNS 安全研究员 Alex Shakhov(SH Consulting 创始人)4 月初披露,一个被 Infoblox 追踪为"Hazy Hawk"的威胁组织,通过系统性利用废弃的 DNS CNAME 记录,劫持了包括 MIT、哈佛、斯坦福、UC 伯克利、哥伦比亚大学、芝加哥大学、约翰斯·霍普金斯大学等在内至少 34 所美国顶级高校的子域名,将其用于托管色情垃圾页面和诈骗内容——相关页面因 .edu 域名极高的搜索权威性,被 Google 快速收录并排至搜索结果顶端。攻击手法本身并不复杂:高校在停用某个子域名(如 provost.washu.edu)时,往往忘记同步删除指向第三方云服务(AWS S3 桶、Azure 端点、Cloudflare CDN、GitHub 等)的 CNAME 记录;Hazy Hawk 通过商业被动 DNS 服务扫描这些"悬空记录",随即注册已被原服务商释放的云资源名称,便可不费力地接管该子域名完整的 SEO 权重与机构公信力。
Hazy Hawk 自 2023 年 12 月起持续活跃,此前已以同样手法劫持美国疾控中心(CDC)子域名而引发安全界关注,受害方还涵盖德勤、普华永道、毕马威等企业及多国政府机构。劫持后的子域名并不直接托管内容,而是将访客经流量分发系统(TDS)多跳中转至色情页面、虚假技术支持诈骗、恶意浏览器推送通知及假冒杀毒软件下载页——主要变现模式是广告联盟点击分成,部分页面还伪称访客设备感染病毒并诱导付费"清除"。Infoblox 副总裁 Renée Burton 将其定性为"以学术机构公信力驱动的 adtech 地下生态",而非传统网络间谍行为。研究人员指出,鉴于全美数千所高校域名空间庞大,目前确认的 34 所极可能只是冰山一角,根治之道在于建立定期审计 DNS 记录的运维规范,在停用云资源的同时强制清理对应的 CNAME 条目。
Ars Technica | SH Consulting | Infoblox