Аналитики компании Infoblox зафиксировали нетипичную фишинговую кампанию, в рамках которой злоумышленники задействуют служебный домен верхнего уровня .arpa и механизм reverse DNS lookup для IPv6, чтобы обходить репутационные проверки доменов и фильтры почтовых шлюзов. Особенность атаки в том, что она опирается не на уязвимость в протоколах, а на недосмотры в политике конфигурирования DNS-провайдеров.
Что такое .arpa и почему его сложно фильтровать
Домен верхнего уровня .arpa — это технический домен, зарезервированный для инфраструктурных задач интернета. Через него реализуется обратное разрешение имен (reverse DNS): определение доменного имени по IP-адресу с использованием PTR-записей. Для IPv4 для этого применяют зону in-addr.arpa, для IPv6 — зону ip6.arpa.
В норме в зонах in-addr.arpa и ip6.arpa размещаются исключительно PTR-записи, и никакой веб-контент через них не обслуживается. Кроме того, для домена .arpa нет привычных WHOIS-данных: отсутствует информация о регистранте, дате регистрации и возрасте домена. Именно это и создает благоприятные условия для обхода антиспам- и антифишинговых механизмов, которые активно используют доменную репутацию.
Злоупотребление ip6.arpa: A-записи вместо PTR
Исследователи обнаружили, что злоумышленники арендуют или получают блоки IPv6-адресов и вместе с ними — делегирование соответствующих зон обратного просмотра в ip6.arpa. На этом этапе владельцы адресного пространства получают возможность самостоятельно управлять записями в зоне reverse DNS.
Вместо ожидаемых PTR-записей атакующие создают в ip6.arpa A-записи, указывающие на IP-адреса своей фишинговой инфраструктуры. Технически протокол DNS не запрещает такую конфигурацию, а многие DNS-провайдеры не накладывают ограничений на типы записей в зонах обратного просмотра. По данным Infoblox, подобные конфигурации фиксировались у клиентов, использующих, в частности, Cloudflare и Hurricane Electric, но потенциально проблема характерна и для других провайдеров.
Маскировка через рандомные поддомены и TDS
Чтобы усложнить детектирование и блокировку, злоумышленники массово генерируют случайные поддомены в зоне ip6.arpa, формируя уникальные FQDN, которые трудно занести в «черные списки» или отследить ретроспективным анализом. Примеры таких имен могут выглядеть как длинные последовательности символов, отражающие IPv6-адрес, например: d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa.
В фишинговых письмах такие ссылки часто встраиваются в изображения или кнопки с призывом к действию. Получателю обещают призы, бонусы за прохождение опроса либо уведомляют о несуществующих проблемах с аккаунтом. Пользователь видит кликабельный баннер, но не обращает внимания на нестандартный hostname, что снижает вероятность самостоятельного распознавания угрозы.
После перехода по ссылке трафик направляется в TDS (Traffic Distribution System) — систему распределения трафика, которая отфильтровывает «неинтересные» переходы по множеству параметров: тип устройства, IP-адрес, геолокация, реферер, наличие индикаторов «песочниц» и систем анализа. Только прошедшие фильтрацию жертвы перенаправляются на полноценный фишинговый сайт; остальные видят легитимный ресурс, что дополнительно затрудняет расследование.
Почему традиционные фильтры оказываются неэффективны
Ключевое преимущество этой схемы для злоумышленников заключается в том, что репутационные проверки доменов для .arpa фактически неприменимы. Отсутствие WHOIS-данных, привычных метрик «возраста домена» и контактной информации лишает антиспам-системы важного источника сигналов. В результате многие почтовые шлюзы и прокси-сервисы не распознают такие домены как подозрительные.
Дополнительно атакующим помогает короткий жизненный цикл ссылок. По наблюдениям Infoblox, используемые хостнеймы в ip6.arpa «живут» всего несколько дней, после чего перестают резолвиться или заменяются новыми. Это резко снижает эффективность сигнатурных и блэклист-подходов, а также усложняет ретроспективный анализ инцидентов.
Дополнительные техники: dangling CNAME и domain shadowing
Помимо злоупотребления .arpa, в той же кампании применяются и другие продвинутые методы маскировки фишинга. Исследователи отмечают использование перехваченных CNAME-записей (dangling CNAMEs), когда домен продолжает указывать на уже не контролируемый ресурс. Захватив управление целевым хостом, преступники могут подменить контент на фишинговый, сохранив при этом легитимный вид исходного доменного имени.
Также активно используется domain shadowing — скрытое создание поддоменов в зонах легитимных организаций (госструктур, университетов, телеком-компаний, медиа и ритейла). По данным Infoblox, в рамках этой активности злоумышленники задействовали перехваченные CNAME более чем сотни организаций, а отдельные домены использовались в более чем сотне фишинговых рассылок в сутки. Такая тактика серьезно затрудняет блокировку на уровне доменов, поскольку затрагивает деловую переписку реальных компаний.
По оценкам исследователей, подобная вредоносная активность наблюдается как минимум с сентября 2025 года и демонстрирует тенденцию к росту сложности используемых схем.
Рассматриваемая кампания наглядно показывает, что злоумышленники все активнее эксплуатируют серые зоны стандарта и управленческих политик, а не только технические уязвимости. Для снижения рисков организациям стоит пересмотреть подход к контролю DNS и фильтрации трафика: ограничивать типы записей в зонах обратного просмотра, мониторить аномальные конфигурации ip6.arpa, усиливать проверку ссылок в письмах (включая служебные домены), а также обучать сотрудников распознаванию нетипичных URL и подозрительных сценариев. Инвестирование в комплексный мониторинг DNS и поведенческую аналитику фишинговых кампаний становится критически важным элементом современной стратегии кибербезопасности.
