Kimlik Avı Planları Tespitten Kaçmak için .arpa TLD ve IPv6 Tünellerini Kötüye Kullanıyor

Infoblox Threat Intel'deki siber güvenlik araştırmacıları, kurumsal güvenlik kontrollerini atlamak için internetin temel tesisatından yararlanan son derece sofistike bir kimlik avı kampanyası ortaya çıkardı. Yeni bir kaçış taktiğinde, tehdit aktörleri .arpa üst düzey etki alanını (TLD) silahlandırıyor ve kötü amaçlı kimlik avı içeriğini barındırmak için IPv6 tünellerini kullanıyor. Bu yaklaşım, geleneksel alan adı itibar kontrollerini aktif olarak atlatarak ağ savunma sistemleri için benzersiz ve ortaya çıkan bir zorluk sunar. Kimlik avı e – postalarında .arpa TLD'yi kötüye kullanmak için kullanılan sürece genel bir bakış (Kaynak: infoblox)

.com veya .net gibi tüketiciye yönelik geleneksel TLD'lerin aksine, .arpa alan adı yalnızca dahili internet altyapısı için ayrılmıştır. Birincil işlevi, IP adreslerini alan adlarına geri çeviren ters DNS haritalamasıdır. Temelde hiçbir zaman halka açık web sitelerini veya web içeriğini barındırmak için tasarlanmamıştır. Bununla birlikte, saldırganlar belirli sağlayıcıların DNS kayıt yönetim sistemlerinde kritik kör noktalar keşfettiler. Ücretsiz IPv6 tünel hizmetlerinden yararlanarak, tehdit aktörleri belirli IPv6 adres blokları üzerinde idari kontrol kazanır. Beklenen ters DNS işaretçi (PTR) kayıtlarını oluşturmak yerine, bu .arpa alt alanları için standart A kayıtları oluştururlar. Bu, güvenlik araçlarının doğası gereği güvendiği ve nadiren incelediği temel altyapı adresleri olarak gizlenmiş tam nitelikli alan adları oluşturur. Saldırı Zinciri ve Ele Geçirilen CNAME'ler

Infoblox'a göre, saldırı dizisi tipik olarak büyük tüketici markalarını taklit eden malspam e – postalarıyla başlıyor. Bu e – postalar, ücretsiz bir ödül vaat eden veya yanlış bir şekilde bir aboneliğin kesintiye uğradığını iddia eden tek bir köprülenmiş resim içerir. Bir mağdur görüntüye tıkladığında, karmaşık bir Trafik Dağıtım Sistemi (TDS) aracılığıyla yönlendirilir.