Злоумышленники используют домен специального назначения “.arpa” и обратный DNS IPv6 в фишинговых кампаниях, которые легче обходят проверки репутации доменов и шлюзы безопасности электронной почты.
Домен .arpa — это специальный домен верхнего уровня, зарезервированный для интернет-инфраструктуры, а не для обычных веб-сайтов. Он используется для обратных DNS-запросов, которые позволяют системам сопоставлять IP-адрес с именем хоста.
Обратные запросы IPv4 используют домен in-addr.arpa, а IPv6 — ip6.arpa. При таких запросах DNS запрашивает имя хоста, производное от IP-адреса, записанного в обратном порядке и добавленного к одному из этих доменов.
Например, у www.google.com есть IP-адреса 192.178.50.36 (IPv4) и 2607:f8b0:4008:802::2004 (IPv6). Запрос IP-адреса Google 192.178.50.36 с помощью инструмента dig разрешается в имя хоста in-addr.arpa и, в конечном итоге, в обычное имя хоста:
; <<< DiG 9.18.39-0ubuntu0.24.04.2-Ubuntu <<< -x 192.178.50.36
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59754
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;36.50.178.192.in-addr.arpa. IN PTR
;; ANSWER SECTION:
36.50.178.192.in-addr.arpa. 1386 IN PTR lcmiaa-aa-in-f4.1e100.net.
;; Query time: 7 msec
;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)
;; WHEN: Fri Mar 06 13:57:31 EST 2026
;; MSG SIZE rcvd: 94Запрос IPv6-адреса Google 2607:f8b0:4008:802::2004 показывает, что он сначала разрешается в имя хоста IPv6.arpa, а затем в имя хоста, как показано ниже.
; <<< DiG 9.18.39-0ubuntu0.24.04.2-Ubuntu <<< -x 2607:f8b0:4008:802::2004
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31116
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;4.0.0.2.0.0.0.0.0.0.0.0.0.0.0.0.2.0.8.0.8.0.0.4.0.b.8.f.7.0.6.2.ip6.arpa. IN PTR
;; ANSWER SECTION:
4.0.0.2.0.0.0.0.0.0.0.0.0.0.0.0.2.0.8.0.8.0.0.4.0.b.8.f.7.0.6.2.ip6.arpa. 78544 IN PTR tzmiaa-af-in-x04.1e100.net.
4.0.0.2.0.0.0.0.0.0.0.0.0.0.0.0.2.0.8.0.8.0.0.4.0.b.8.f.7.0.6.2.ip6.arpa. 78544 IN PTR mia07s48-in-x04.1e100.net.
;; Query time: 10 msec
;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)
;; WHEN: Fri Mar 06 13:58:43 EST 2026
;; MSG SIZE rcvd: 171Фишинговая кампания использует домены .arpa
Фишинговая кампания, замеченная Infoblox, использует TLD обратного DNS ip6.arpa, который обычно сопоставляет IPv6-адреса с именами хостов с помощью записей PTR.
Однако злоумышленники обнаружили, что, зарезервировав собственное адресное пространство IPv6, они могут злоупотреблять зоной обратного DNS для диапазона IP-адресов, настраивая дополнительные записи DNS для фишинговых сайтов.
В нормальной работе DNS домены обратного DNS используются для записей PTR, которые позволяют системам определять имя хоста, связанное с запрашиваемым IP-адресом.
Тем не менее, злоумышленники обнаружили, что после получения контроля над DNS-зоной диапазона IPv6 некоторые платформы управления DNS позволяют им настраивать другие типы записей, которые могут быть использованы в фишинговых атаках.
“Мы видели, как злоумышленники злоупотребляли Hurricane Electric и Cloudflare для создания этих записей — обе компании имеют хорошую репутацию, которую используют злоумышленники, — и мы подтвердили, что некоторые другие DNS-провайдеры также допускают такие настройки”, — объясняет Infoblox.
“Наше тестирование не было исчерпывающим, но мы уведомили провайдеров, где обнаружили пробел. На Рисунке 2 показан процесс, который использовал злоумышленник для создания домена, используемого в фишинговых письмах.”
Для настройки инфраструктуры злоумышленники сначала получили блок IPv6-адресов через службы туннелирования IPv6.
Получив контроль над адресным пространством, злоумышленники затем генерируют имена хостов обратного DNS из диапазона адресов IPv6, используя случайно сгенерированные поддомены, которые трудно обнаружить или заблокировать.
Вместо того чтобы настраивать записи PTR, как ожидается, злоумышленники создают записи A, которые указывают эти домены обратного DNS на инфраструктуру, размещающую фишинговые сайты.
Фишинговые письма в этой кампании используют приманки, обещающие приз, вознаграждение за опрос или уведомление об учетной записи. Приманки встраиваются в письма в виде изображений, связанных с записью обратного DNS IPv6, например, “d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa”, а не с обычным именем хоста, поэтому получатель не видит странного имени хоста arpa.
Когда жертва нажимает на изображение в фишинговом письме, устройство разрешает DNS-серверы злоумышленника через DNS-провайдера.
В некоторых случаях авторитетные серверы имен размещались Cloudflare, и домены обратного DNS разрешались в IP-адреса Cloudflare, скрывая расположение серверной фишинговой инфраструктуры.
После нажатия на изображение жертвы перенаправляются через систему распределения трафика (TDS), которая определяет, являются ли они действительной целью, обычно на основе типа устройства, IP-адреса, веб-рефереров и других критериев. Если посетитель проходит проверку, его перенаправляют на фишинговый сайт. В противном случае его отправляют на легитимный веб-сайт.
Infoblox сообщает, что фишинговые ссылки недолговечны, активны всего несколько дней. После истечения срока действия ссылок они перенаправляют пользователей на ошибки домена или другие легитимные сайты.
Исследователи полагают, что это делается для того, чтобы усложнить анализ и расследование фишинговой кампании для специалистов по безопасности.
Кроме того, поскольку домен ‘.arpa’ зарезервирован для интернет-инфраструктуры, он не содержит данных, обычно обнаруживаемых в зарегистрированных доменах, таких как информация WHOIS, возраст домена или контактная информация. Это затрудняет обнаружение вредоносных доменов для шлюзов электронной почты и инструментов безопасности.
Исследователи также наблюдали, как фишинговая кампания использует другие методы, такие как перехват “висячих” записей CNAME и затенение поддоменов (subdomain shadowing), что позволяет злоумышленникам доставлять фишинговый контент через поддомены, связанные с легитимными организациями.
“Мы обнаружили более 100 случаев, когда злоумышленник использовал перехваченные CNAME известных государственных учреждений, университетов, телекоммуникационных компаний, СМИ и розничных продавцов”, — пояснили в Infoblox.
Используя в качестве оружия доверенные функции обратного DNS, применяемые инструментами безопасности, злоумышленники могут генерировать фишинговые URL-адреса, которые обходят традиционные методы обнаружения.
Как всегда, лучший способ избежать подобных фишинговых атак — не переходить по неожиданным ссылкам в электронных письмах, а посещать сервисы напрямую через их официальные веб-сайты.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lawrence Abrams
