Злоумышленники используют домен .arpa и IPv6 для обхода защитных систем электронной почты
Кибербезопасность столкнулась с новой изощрённой тактикой: эксперты обнаружили фишинговую кампанию, в которой злоумышленники эксплуатируют специальный домен верхнего уровня .arpa и обратные DNS-запросы IPv6. Цель — обход традиционных проверок репутации доменов и систем защиты электронной почты. Домен .arpa, зарезервированный для инфраструктурных нужд, в обычной практике не используется для размещения сайтов, что делает его привлекательным для атакующих.
Технически метод основан на создании вредоносных ссылок, использующих имена хостов в зонах in-addr.arpa или ip6.arpa. Эти домены, полученные в результате обратного преобразования IP-адресов, часто не проверяются фильтрами безопасности с той же тщательностью, что и обычные домены вроде .com. В результате письма с такими ссылками успешно минуют защиту, построенную на чёрных списках и оценке репутации.
Механизм работы использует обратные DNS-запросы. Для IPv4-адреса, например, 192.178.50.36, соответствующий обратный домен будет 36.50.178.192.in-addr.arpa. Атакующие регистрируют или компрометируют серверы, чтобы настраивать записи .arpa, ведущие на фишинговые страницы. Многие системы безопасности считают домен .arpa сугубо техническим и безопасным, что позволяет ссылкам беспрепятственно проходить фильтрацию.
Риски для корпоративной безопасности серьёзны. Организации, полагающиеся только на традиционную фильтрацию URL, оказываются уязвимыми. Необходимо усилить защиту: внедрить более детальный DNS-фильтр, отслеживающий обратные домены, использовать расширенные разведданные об угрозах и повышать осведомлённость пользователей об опасности ссылок в технических доменах.
Для эффективного противодействия требуется многоуровневая стратегия. Ключевые меры включают настройку почтовых шлюзов для повышенного подозрения к ссылкам на .arpa, особенно в непроверенных письмах, а также комплексный мониторинг всей DNS-инфраструктуры, включая IPv6-пространство, которое предоставляет злоумышленникам огромный и плохо контролируемый ресурс.
