Содержание
Киберпреступники начали злоупотреблять доменной зоной .arpa, которая обычно обслуживает инфраструктуру DNS, а не сайты. Они используют IPv6 и обратный DNS, чтобы прятать фишинговые страницы от части стандартных проверок безопасности.
Схема опирается на то, что .arpa — это «служебная» зона интернета. Она помогает сопоставлять IP-адреса и доменные имена через reverse DNS. Многие защитные системы смотрят на неё менее внимательно, потому что исторически там не ожидали веб-контента.
Как злоумышленники прячут фишинг в .arpa через IPv6
Атака завязана на IPv6-адреса и управление их диапазонами. Злоумышленники получают контроль над диапазоном IPv6, а затем настраивают записи так, чтобы они указывали на серверы с фишинговыми страницами. Снаружи это выглядит как обычная ссылка из письма, а «странный» .arpa-адрес остаётся в фоне и не бросается в глаза.
В некоторых случаях инфраструктуру дополнительно маскируют через сервисы вроде Cloudflare, чтобы скрыть реальное расположение вредоносного контента. Параллельно проблему усиливает то, что отдельные DNS-провайдеры позволяют управлять .arpa-записями способами, которые не подразумевали веб-хостинг.
Отдельная деталь — использование бесплатных IPv6-туннелей. Они могут давать административный доступ к крупным диапазонам адресов, даже если сами туннели не применяют для передачи трафика. Это упрощает развёртывание и «ротацию» инфраструктуры под атаки.
Какие письма рассылают и что крадут
Доставка идёт через классический фишинг: письма мимикрируют под известные бренды и обещают «подарки» или призы. Пользователь кликает по картинке или ссылке и попадает на поддельную страницу, которая собирает логины, пароли и другие чувствительные данные.
Атакующие усложняют детект тем, что создают уникальные адреса с случайными поддоменами. Из-за этого сигнатуры и списки блокировок пополняются медленнее, а автоматике сложнее «склеивать» такие домены в одну кампанию.
Почему именно .arpa даёт фишингу преимущество
По оценке Infoblox Threat Intel, злоупотребление .arpa опасно тем, что атакующие «встраиваются» в базовую часть DNS-инфраструктуры. Поскольку .arpa критична для работы DNS, её домены реже блокируют автоматически, а часть защитных цепочек не рассчитана на веб-контент в этой зоне.
И это неприятный тренд: атакующим не нужно ломать софт или искать 0-day. Они берут существующие механизмы интернета и используют их «не по инструкции», а жертва всё равно вводит пароль на поддельной странице.
Что компании уже рекомендуют делать для защиты
В Infoblox называют DNS-инфраструктуру «дорогой землёй» для атакующих и призывают мониторить точки злоупотребления, включая нетипичные зоны. В практическом плане упоминают три направления, которые снижают ущерб, если атака всё же прошла.
- Правила firewall: ужесточить фильтрацию и контроль исходящих соединений к подозрительным адресам и зонам.
- Защита идентичности: усилить политики доступа и меры против кражи учёток.
- Реакция на инциденты: обеспечить быструю очистку от вредоносного ПО, если заражение произошло.
Технические детали кампаний Infoblox описывает в своём разборе: Infoblox Threat Intel.
