Аналітики Infoblox зафіксували нетипову фішингову кампанію, у якій зловмисники використовують службовий домен верхнього рівня .arpa та механізм reverse DNS lookup для IPv6. Мета — обійти перевірку репутації доменів, антиспам-фільтри та захисні механізми поштових шлюзів. Атака не спирається на технічну вразливість протоколів, а експлуатує прогалини в політиках конфігурації DNS-провайдерів.
Що таке .arpa та яку роль відіграє reverse DNS
Домен верхнього рівня .arpa — це інфраструктурний, а не «загальний» домен. Він зарезервований для технічних задач інтернету, насамперед для оберненого DNS-розв’язання (reverse DNS), коли за IP-адресою потрібно отримати доменне ім’я через PTR-записи.
Для IPv4 ця функція реалізується в зоні in-addr.arpa, для IPv6 — у зоні ip6.arpa. У нормальному сценарії в таких зонах зберігаються виключно PTR-записи, через які не обслуговується жодний вебконтент. Окрім того, для домену .arpa відсутні звичні WHOIS-дані (реєстрант, дата реєстрації, вік домену). Саме це ускладнює застосування репутаційних перевірок, на яких будуються сучасні антиспам- та антифішингові системи.
Зловживання зоною ip6.arpa: A-записи замість PTR
За даними Infoblox, зловмисники орендують або отримують блоки IPv6-адрес, разом з якими їм делегуються відповідні зони оберненого перегляду в ip6.arpa. Отримавши контроль над reverse DNS для цього адресного простору, вони можуть самостійно керувати записами у відповідних зонах.
Замість очікуваних PTR-записів атакувальники створюють у зоні ip6.arpa A-записи, які напряму вказують на IP-адреси їхньої фішингової інфраструктури. З технічної точки зору протокол DNS формально не забороняє таку конфігурацію, і багато DNS-провайдерів не обмежують тип записів у зонах оберненого перегляду. Infoblox зафіксувала подібні налаштування, зокрема, серед клієнтів, що використовують Cloudflare і Hurricane Electric, однак проблема потенційно поширена й серед інших провайдерів.
Маскування фішингу через випадкові піддомени та TDS
Щоб ускладнити виявлення, зловмисники масово генерують рандомні піддомени у зоні ip6.arpa. Так утворюються унікальні повні доменні імена (FQDN), які важко додати до чорних списків і відстежити під час ретроспективного аналізу. Такі імена часто виглядають як довгі ланцюжки символів, що відображають структуру IPv6-адреси, наприклад: d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa.
У фішингових листах ці URL вбудовуються в кнопки, банери або зображення з обіцянками призів, бонусів за участь в опитуванні чи повідомленнями про «проблеми з акаунтом». Більшість користувачів не звертає уваги на нестандартний hostname, що знижує шанси самостійно розпізнати атаку.
Роль TDS (Traffic Distribution System) у приховуванні шкідливої активності
Після переходу за посиланням користувацький трафік спрямовується через TDS (Traffic Distribution System) — систему розподілу трафіку. Вона відсіює «нецікаві» переходи за низкою параметрів: тип пристрою, IP-адреса, геолокація, реферер, ознаки пісочниць, систем безпеки та дослідницької інфраструктури.
Лише «придатні» жертви перенаправляються на повноцінний фішинговий сайт. Іншим користувачам демонструються цілком легальні ресурси. Це значно ускладнює як виявлення кампанії автоматизованими засобами, так і подальше розслідування інцидентів.
Чому традиційні фільтри виявляються неефективними
Ключова перевага цієї тактики для зловмисників полягає в тому, що репутаційні перевірки для доменів .arpa практично не працюють. Відсутність WHOIS-інформації, даних про вік домену й контактні особи позбавляє антиспам-системи важливих репутаційних сигналів. У результаті багато поштових шлюзів і проксі-сервісів не трактують такі домени як підозрілі.
Додатково ефективності атаки сприяє короткий життєвий цикл фішингових hostname. За спостереженнями Infoblox, доменні імена в ip6.arpa часто «живуть» лише декілька днів, після чого перестають резолвитися або замінюються новими. Це різко знижує дієвість сигнатурних підходів, традиційних чорних списків і ускладнює побудову повної картини атаки в минулому.
Додаткові техніки: dangling CNAME та domain shadowing
У межах тієї ж кампанії фіксується використання низки додаткових прийомів маскування. Один із них — dangling CNAME, коли CNAME-запис продовжує вказувати на ресурс, який більше не контролюється законним власником. Захопивши цільовий хост, зловмисники підмінюють контент на фішинговий, зберігаючи при цьому легітимний вигляд вихідного доменного імені.
Ще один активно застосовуваний метод — domain shadowing, тобто приховане створення піддоменів у зонах легітимних організацій (держструктури, університети, телеком, медіа, ритейл). За оцінками Infoblox, зловмисники задіяли перехоплені CNAME-записи більш ніж сотні організацій, причому окремі домени використовувалися у понад сотні фішингових розсилок на добу. Такий підхід істотно ускладнює блокування за доменними іменами, оскільки той самий домен паралельно використовується в цілком легітимній комунікації.
Як організаціям знизити ризики зловживань .arpa та ip6.arpa
За спостереженнями дослідників, подібна шкідлива активність триває щонайменше з вересня 2025 року та демонструє тенденцію до ускладнення технік. Організаціям варто переглянути підхід до контролю DNS та фільтрації трафіку. Зокрема, доцільно:
1. Обмежити типи записів у зонах оберненого перегляду. DNS-провайдерам і власникам адресного простору варто впровадити політики, які дозволяють у зонах in-addr.arpa та ip6.arpa лише PTR-записи або суворо контролюють появу A/AAAA/CNAME-записів.
2. Моніторити аномалії у зонах ip6.arpa. Варто налаштувати виявлення нетипових конфігурацій reverse DNS, масової генерації піддоменів та підозрілих відповідей на запити до .arpa-доменів.
3. Посилити аналіз посилань у листах. Антифішингові системи мають перевіряти не лише «звичайні» домени, а й службові зони на кшталт .arpa, а також враховувати короткий життєвий цикл фішингових hostname.
4. Розвивати поведінкову аналітику. Ставка лише на репутаційні сигнатури вже недостатня. Необхідні рішення, що аналізують поведінку доменів, структуру URL, сценарії перенаправлень і роботу TDS.
5. Навчати користувачів. Варто регулярно пояснювати співробітникам ризики переходів за посиланнями з листів, нетипові формати URL та ознаки фішингових кампаній з використанням кнопок, банерів і нереалістичних обіцянок.
Активне зловживання доменом .arpa та механізмами IPv6 reverse DNS демонструє, що кіберзлочинці все частіше експлуатують «сірі зони» стандартів і управлінських політик, а не лише класичні уразливості. Інвестиції в комплексний моніторинг DNS, поведінкову аналітику фішингових кампаній і послідовне навчання користувачів стають критично важливими елементами стратегії кібербезпеки для будь-якої організації, яка покладається на електронну пошту та вебсервіси як основні канали взаємодії.
