Cyberangriffe werden immer raffinierter, und eine Bedrohung bleibt immer noch oft unbemerkt: die sogenannte "Sitting Ducks"-Attacke. Dabei übernehmen Angreifer die Kontrolle über Domains, ohne die Zugangsdaten des Domaininhabers zu benötigen. Zwischen August und November 2024 hat Infoblox Threat Intel fast 800.000 gefährdete registrierte Domains identifiziert, von denen rund neun Prozent (70.000) in der Folge gehackt wurden – eine alarmierende Zahl. Insbesondere die Angreifer "Horrid Hawk" und "Hasty Hawk" zeigen, wie gefährlich diese Angriffe sein können und wie schwer sie zu erkennen sind.

Sitting Ducks – die versteckte Gefahr
Ein Sitting-Ducks-Angriff ist einfach auszuführen und nutzt fehlerhafte Konfigurationen im Domain Name System (DNS). Angreifer können diese oft übersehenen Schwachstellen nutzen, um die Kontrolle über eine Domain zu erlangen. Dafür müssen drei Bedingungen erfüllt sein:

• Eine registrierte Domain oder eine Subdomain einer registrierten Domain verwendet oder delegiert autoritative DNS-Dienste an einen anderen Anbieter als den Registrar; dies wird als "Delegation" bezeichnet.
• Die Delegation ist "lame", das heißt der beziehungsweise die autoritativen Nameserver des Eintrags enthalten keinerlei Informationen über die Domain und können daher keine Anfragen auflösen.
• Der autoritative DNS-Provider ist manipulierbar, das heißt Angreifer können die betreffende Domain beim Provider "beanspruchen" und DNS-Einträge erstellen, ohne Zugriff auf das Konto beim Registrar zu haben.

Was diesen Angriff besonders perfide macht, ist die Tatsache, dass die Cyberkriminellen bei diesem Prozess keine Benutzerkonten kompromittieren müssen. Oft handelt es sich um Domains, die von ihrem ursprünglichen Besitzer vergessen wurden oder deren Verwaltung aufgrund organisatorischer Veränderungen vernachlässigt wurde. Außerdem bietet die niedrige technische Einstiegshürde vielen verschiedenen Cyberkriminellen die Möglichkeit, diese Schwachstelle auszunutzen.

Obwohl Sitting-Ducks-Angriffe einfach durchzuführen und schwer zu erkennen sind, lassen sie sich mit einigen wenigen Konfigurationen vollständig verhindern. Wer sind aber die Angreifer, die diese Sicherheitslücke ausnutzen?

Hawks – Angriff im Sturzflug
Die Angreifer der Hawks-Familie teilen ihre Eigenschaften mit den gleichnamigen Greifvögeln: Wie Falken greifen sie im Sturzflug an, stoßen in die Tiefe und schnappen sich verwundbare Domains. "Horrid Hawk" ist mindestens seit Februar 2023 aktiv und nutzt gekaperte Domains für Anlagebetrug. Der Bedrohungsakteur verwendet solche Domains in jeder Phase seiner Angriffe. Als Köder kommen Facebook-Anzeigen in über 30 Sprachen zum Einsatz. Die User werden auf Landingpages gelockt, die für nicht existierende staatliche Investitionsprogramme oder Gasprojekte wie das "Baltic Pipe Project" werben. Inzwischen haben Sicherheitsexperten fast 5000 gekaperte Domains identifiziert.

Ein Horrid-Hawk-Angriff läuft immer gleich ab und basiert auf zwei verschiedenen eroberten Domains, die in der Regel von einigen wenigen DNS-Servern übernommen werden. Nach der Übernahme der Domain konfiguriert Horrid Hawk die IP-Adresse des A-Eintrags auf einen anderen dedizierten Server. Eine der Domains weist er einem TDS-Server (Traffic Distribution System) zu, der die Landingpage vor Sicherheitsforschern abschirmt und unerwünschte Webbesucher herausfiltert. Die andere Domain teilt der Bedrohungsakteur der betrügerischen Landing Page zu.

Ziel ist es, dass die Opfer persönliche Daten wie Namen, Telefonnummern und E-Mail-Adressen preisgeben, die sich dann für weitere betrügerische Aktivitäten nutzen lassen. Der Angreifer hat es dabei auf Verbraucher weltweit abgesehen und gestaltet seine Kampagnen entsprechend. Ein Beispiel sind Facebook-Werbeanzeigen, die sich gezielt an polnische Nutzer über 50 Jahre richten und sie dazu auffordern, auf einen bestimmten Werbelink zu klicken. Die Traffic Distribution Systeme dienen hierbei als Tarnung, um Besucher auf der Grundlage ihres geografischen Standorts, ihrer Spracheinstellungen, oder Ähnlichem auf die Website zu leiten.

Phishing mit Dynamik
Seit mindestens März 2022 führt "Hasty Hawk" umfassende Phishing-Kampagnen mit über 200 annektierten Domains durch. Dabei werden neben anderen Opfern bekannte Marken wie DHL imitiert oder gefälschte Spendenseiten zur angeblichen Unterstützung der Ukraine erstellt. Der Akteur nutzt eine Vielzahl von Providern und konfiguriert die gekaperten Domains häufig, um Inhalte auf russischen IP-Adressen zu hosten. Ein zentrales Merkmal der Kampagnen von Hasty Hawk ist dabei die häufige Verwendung von Google Ads, um Nutzer auf diese manipulierten Seiten zu lenken. Dort lauern Malware-Downloads oder Formulare, die darauf abzielen, Login-Daten oder Zahlungsinformationen abzugreifen.

Wie Horrid Hawk nutzt auch Hasty Hawk TDS-Technologien, um Nutzer aufgrund ihres Standorts, ihrer Sprache oder des verwendeten Geräts gezielt umzuleiten. Sehen Nutzer je nach Gerät, Standort oder Uhrzeit unterschiedliche Inhalte, ist dies ein klares Indiz dafür, dass ein TDS im Hintergrund arbeitet und die Opfer auf die Seite leitet, von der die Kriminellen am meisten profitieren. Hasty Hawk ändert seine Domains häufig von einer Kampagne zur nächsten. So wurde eine einzelne Domain zwischen September 2023 und März 2024 je nach Herkunftsland der Besucher unterschiedlich weitergeleitet – mal auf deutsche oder englische DHL-Shipping-Landingpages, mal auf gefälschte Spendenseiten.

Die Bekanntheit und der gute Ruf der gekaperten Domains können dazu führen, dass sie von Sicherheitskontrollen als sicher oder harmlos eingestuft werden, sodass sich Nutzer mit der kompromittierten, mit Malware infizierten Website verbinden können. Dies schafft ein Umfeld, in dem clevere Akteure Malware verbreiten, hemmungslos betrügen und Benutzeranmeldeinformationen fälschen können, ohne dass dies Konsequenzen hat.

Neben den Hawks-Bedrohungsakteuren gibt es weitere Angreifer, die die Sitting-Ducks-Methode verwenden, wie zum Beispiel Teile der VexTrio-Viper-Gruppe. Viele von ihnen nutzen den russischen Anti-Bot-Dienst "AntiBot Cloud", um Bots und den Datenverkehr von Sicherheitsforschern zu filtern. Zu den Funktionen von AntiBot Cloud gehört die Möglichkeit, Regeln zum Blockieren bestimmter Bot-Dienste oder Nutzer auf der Grundlage von Informationen wie IP-Geolocation und User-Agent festzulegen.

Angriffe weitreichend, aber vermeidbar
Die Folgen von Sitting-Ducks-Angriffen sind zwar weitreichend, aber wie eingangs erwähnt durchaus vermeidbar. Um solche Attacken zu verhindern, müssen allerdings alle Akteure in der DNS-Infrastruktur proaktive Maßnahmen ergreifen. Domaininhaber sollten ihre DNS-Konfigurationen regelmäßig überprüfen und sicherstellen, dass keine fehlerhaften oder ungenutzten ("lame") Delegationen existieren. Diese Konfigurationslücken können Cyberkriminellen als Einfallstor dienen und sollten daher konsequent identifiziert und geschlossen werden.

Auch den Registrierungsstellen und DNS-Providern kommt bei der Abwehr dieser Bedrohung eine entscheidende Rolle zu: Durch proaktive Sicherheitsmaßnahmen, wie beispielsweise die automatisierte Überprüfung von DNS-Konfigurationen, können sie potenziell unsichere Delegationen frühzeitig erkennen und die Administratoren darauf hinweisen. Darüber hinaus tragen robuste Sicherheitsrichtlinien und regelmäßige Audits dazu bei, die Integrität des DNS-Ökosystems zu gewährleisten und Angriffsflächen zu minimieren.

Durch die aktive Sicherung und Aktualisierung der DNS-Infrastrukturen lässt sich das Risiko von Sitting-Ducks-Attacken praktisch auf Null reduzieren und eine zuverlässige und widerstandsfähige Webkommunikation gewährleisten. Ohne aktive Bemühungen, diese Angriffe einzudämmen und letztlich zu verhindern, werden Kriminelle diese Methode weiterhin nutzen. Hier sind alle gefordert – von den großen DNS-Anbietern und Registrierungsstellen bis hin zu den möglichen Opfern selbst.

Fazit
Sitting-Ducks-Angriffe stellen eine ernstzunehmende Bedrohung dar, die sich nur durch eine enge Zusammenarbeit zwischen Domaininhabern, Providern und Sicherheitsforschern effektiv bekämpfen lässt. Denn trotz des enormen Schadenspotenzials werden DNS-Fehlkonfigurationen selten als kritische Schwachstellen wahrgenommen – Prävention ist hier der Schlüssel. Infoblox Threat Intel schätzt, dass täglich rund eine Million Domains Opfer von Sitting-Ducks-Attacken werden. Es bleibt zu hoffen, dass die Threat-Intelligence-Gemeinschaft mit zunehmendem Bewusstsein für diese Technik deren Nutzung durch Kriminelle aufdeckt und es ermöglicht, gekaperte Domains zu verfolgen und zu entfernen.

ln/Dr. Renée Burton, Leiterin der Abteilung Threat Intel bei Infoblox