In den letzten Wochen haben Sicherheitsforscher eine Phishing-Kampagne entdeckt, die eine ungewöhnliche Ecke des Internets übernimmt, um ihre Fallen zu verbergen: die spezielle Domain .harpa, verwendet historisch für Netzwerkinfrastruktur und inverse DNS-Suche. Weit davon entfernt, eine gemeinsame Website zu sein, .harpa ist nicht konzipiert, um Benutzersichtbare Inhalte aber um eine IP-Adresse wieder in einen Hostnamen zu übersetzen; Angreifer haben jedoch kreative Möglichkeiten gefunden, diese Funktionalität zu nutzen, um Kontrollen zu vermeiden und unbemerkt zu gehen.
Um zu verstehen, warum dies problematisch genug ist, um sich daran zu erinnern, wie die umgekehrte Suche funktioniert: Während eine regelmäßige Abfrage einen Domänennamen zu einem IP löst, umgekehrte Suche - durch Bereiche wiein-addr.arpafür IPv4 undip6.arpafür IPv6 - verwandelt eine IP-Adresse in eine Kette von Etiketten, die auf eine PTR zeigt, die normalerweise den zugehörigen Hostnamen angibt. Offizielle Dokumentation zum Zweck des .arpa-Raums gibt es auf IANA, die seine Rolle in der Internet-Infrastruktur beschreibt: https: / / www.iana.org / Domains / arpa. Darüber hinaus erklären Content-Provider und DNS-Operatoren, wie Reverse-Suche praktisch funktionieren, zum Beispiel im Cloudflare-Führer auf inverse DNS: http://www.cloud.
Die von Forschern beobachtete Falle wie Infoblox ist IPv6 Adressblöcke zu liefern - oft durch Tuning-Dienste wie Hurricane Electric Tunnelbroker- und dann die Kontrolle über den inversen DNS-Bereich für diesen Teil des Raumes. Sobald der schädliche Schauspieler diesen Bereich verwaltet, erlauben einige DNS-Management-Panels, verschiedene Arten von Daten als die klassische PTR zu erstellen; Angreifer verwenden genau diese Zulässigkeit, um Datensätze zu definieren Sie weisen auf eine phishing-Infrastruktur hin.
Die praktische Wirkung ist beunruhigend: Anstelle einer in einem öffentlichen Register eingetragenen Domain mit WHOIS, Antike und Metriken, die die Antiphishing-Waldwege in der Regel analysieren, kann der in einer Mail eingebettete Link auf einen Namen aus der IPv6-Adresse innerhalb derip6.arpa. Wenn die URL in einem Bild oder in einem visuellen Element der Post versteckt ist, sehen viele Opfer nicht die vollständige Adresse; durch Anklicken löst der Browser den Namen in der von dem Angreifer kontrollierten Sperrzone und leitet über eine Verkehrsverteilungsplattform (TDS) um. Erfüllt der Besucher bestimmte Kriterien - zum Beispiel Gerätetyp, Land oder Referenz -, so wird er an die Phishing-Website geschickt; wenn nicht, wird er auf legitime Inhalte oder Fehler verwiesen, die die forensische Überwachung und Detektion weiter erschwert.
Die Angreifer haben auch bekannte Lieferanten verwendet die autoritären Bereiche zu beherbergen, die ihnen eine zusätzliche Ebene der Legitimität gegen automatisierte Systeme gibt, die auf den Ruf des Lieferanten verlassen. Infoblox dokumentiert Fälle, in denen Dienstleistungen von angesehenen Betreibern wie Hurricane Electric oder sogar Cloudflare verwendet wurden, um maßgebliche Aufzeichnungen zu veröffentlichen, die die Zwischeninfrastruktur lösten und den tatsächlichen Standort des Backends verbergen.
Ein weiteres Stück des Puzzles ist die kurze Lebensdauer von schädlichen Links: sie sind in der Regel nur wenige Tage vor dem Fallen oder Umleiten auf sichere Websites aktiv. Dieses Verhalten reduziert Beobachtungsfenster und erschwert es Forschern und Blockierwerkzeugen, effektive Signaturen zu erstellen. Parallel dazu haben die Angreifer diese Technik mit anderen bekannten kombiniert, wie z.B. der Entführung des vergessenen CNAME - was Infoblox in früheren Untersuchungen beschrieben hat - und dem Phänomen, das als Subdomain Schatten, die es erlaubt, böswillige Inhalte in Subdomains zu schieben, die mit legitimen Organisationen verbunden sind.
Aus Sicht der Verteidiger gibt es zwei Gründe, die diesen Missbrauch besonders beunruhigend machen. Zuerst die Domains innerhalb .arpa enthält nicht die üblichen Protokoll-Metadaten (WHOIS, Seniorität oder Kontakte), so dass die Mail-Walkingways, die Basisteil ihrer Bewertung in, dass Informationen weniger Identifikationshebel haben. Zweitens, die umgekehrte Delegation Mechaniker selbst und die Regeln einiger DNS-Panels ermöglichen die Veröffentlichung unerwarteter Arten von Aufzeichnungen innerhalb von Infrastrukturbereichen, etwas, das schädliche Akteure ausnutzen.
Nicht alles ist verloren: Es gibt Maßnahmen auf Benutzer- und Betriebsebene, die das Risiko reduzieren. Für Einzelpersonen bleibt die Grundregel gültig und dringend: nicht auf unerwartete Links in E-Mails klicken und, wenn es notwendig ist, auf einen Dienst zuzugreifen, geben Sie die offizielle URL ein oder verwenden Sie Favoriten und offizielle Anwendungen. Für Sicherheitsteams und Administratoren ist es angebracht, die DNS-Reverse-Delegationen in den Blöcken, die sie kontrollieren, zu überprüfen, Tunnel- und DNS-Lieferanten zu benötigen, um die Arten von Datensätzen in den Reverse-Bereichen zu beschränken und ungewöhnliche Auflösungsmuster auf .arpa-Bereiche zu überwachen. Es wird auch empfohlen, dass Filterlösungen und Mail-Walkingways spezielle Steuerungen zum Erkennen und Analysieren von Links mit niedrigem Link beinhalten.ip6.arpaund Koordination mit DNS-Anbietern, wenn Missbrauch beobachtet wird.
Die Sicherheitsgemeinschaft hat bereits begonnen, die Ergebnisse von Lieferanten und Betreibern aufzuklären und zu melden, um die operativen Lücken zu schließen. Die Artikel von Infoblox über diesen Missbrauch und seine bisherige Forschung zum Aufhängen von CNAmes sind ein guter Ausgangspunkt für alle, die sich vertiefen wollen: Abhilfe .arpa (Infoblox) und Cloudy mit einer Chance auf Entführung (Infoblox). Um verwandte Risiken wie Subdomain-Abschattung zu verstehen, ist die Analyse von Proofpoint erleuchtend: The Shadow Knows (Proofpoint).
Am Ende ist die Lektion klar: Die meisten technischen Teile des Internets, die historisch für selbstverständlich genommen wurden, können Angriffsvektoren werden, wenn Sichtbarkeit und Betriebsregeln nicht ausreichend sind. Die Angreifer suchen nach den "stillen" Räumen im Netzwerk, wo die Regeln des Vertrauens für sie funktionieren. und Verteidigung erfordert sowohl digitale Hygienepraktiken seitens der Nutzer als auch eine anspruchsvollere Politik und Überwachung seitens der Betreiber und Lieferanten.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...