Новые методы фишинга: использование домена .arpa и IPv6-туннелей для обхода защиты

Исследователи в области кибербезопасности из Infoblox Threat Intel выявили сложную фишинговую кампанию, в которой злоумышленники применяют нестандартные методы для обхода корпоративных систем безопасности. В частности, злоумышленники используют домен верхнего уровня .arpa и технологии IPv6-туннелирования для размещения вредоносного контента, что позволяет им обходить традиционные механизмы проверки репутации доменов.

Особенности выявленной кампании

Фишеры выбрали домен .arpa — технический домен верхнего уровня, который обычно применяется для инфраструктурных целей интернета, таких как обратное разрешение IP-адресов. Этот домен редко проверяется системами безопасности, поскольку считается надежным и не предназначен для размещения пользовательского контента. Использование .arpa позволяет злоумышленникам скрывать фишинговые ресурсы от стандартных фильтров и систем мониторинга.

Кроме того, злоумышленники задействуют IPv6-туннели — технологии, позволяющие передавать IPv6-трафик через IPv4-сети. Это усложняет отслеживание и блокировку вредоносных соединений, поскольку многие корпоративные системы безопасности не полностью адаптированы к работе с IPv6, особенно с туннелированным трафиком.

Такое сочетание — использование технического домена и протокольных особенностей — создает эффективный механизм обхода традиционных средств защиты, основанных на анализе доменной репутации и IP-адресов.

Почему это важно для организаций

Для компаний, управляющих своей внешней поверхностью атаки, данное открытие представляет серьезную угрозу. Традиционные системы безопасности, включая фильтры URL, антивирусные решения и системы обнаружения вторжений, часто опираются на базы данных известных вредоносных доменов и IP-адресов. Использование .arpa и IPv6-туннелей позволяет злоумышленникам:

• Маскировать фишинговые сайты под технические домены, которые редко вызывают подозрения.
• Обходить фильтры, не рассчитанные на глубокий анализ IPv6-трафика и туннелей.
• Снижать эффективность автоматических систем блокировки и мониторинга.

Это повышает риск успешного проникновения через фишинговые атаки, что может привести к компрометации учетных данных, утечке конфиденциальной информации и дальнейшему распространению вредоносного ПО.

Практические рекомендации для команд безопасности

Чтобы минимизировать риски, связанные с подобными методами обхода защиты, специалистам по информационной безопасности следует обратить внимание на следующие меры:

• Расширить мониторинг доменных зон — включить проверку и анализ трафика, связанного с техническими доменами, такими как .arpa, особенно если в организации ранее не уделялось внимание этим зонам.
• Усилить анализ IPv6-трафика — обеспечить полноценную поддержку и мониторинг IPv6, включая туннелированные соединения, чтобы своевременно выявлять аномалии и подозрительные активности.
• Интегрировать контекстный анализ URL — не ограничиваться только проверкой доменной репутации, а учитывать структуру URL и поведение пользователей при доступе к ресурсам.
• Обновлять базы данных угроз и правила фильтрации — использовать актуальные данные об угрозах, включая новые методы обхода, и регулярно обновлять политики безопасности.
• Обучать сотрудников — проводить тренинги по распознаванию фишинговых сообщений, особенно обращая внимание на необычные домены и нестандартные ссылки.
• Внедрять многофакторную аутентификацию (MFA) — чтобы снизить риск компрометации учетных данных даже в случае успешной фишинговой атаки.

В условиях постоянного развития методов обхода защиты важно сохранять проактивный подход к управлению внешней поверхностью атаки и адаптировать инструменты безопасности под новые вызовы. Только комплексный и своевременный анализ позволит эффективно противостоять современным фишинговым кампаниям.