| Infoblox Threat Intel zeigt, wie Angreifer den reservierten DNS-Bereich .arpa missbrauchen, um Sicherheitskontrollen zu umgehen und Phishing-Attacken zu verbreiten. | Infoblox Threat Intel shows how attackers misuse the reserved DNS zone .arpa to bypass security controls and spread phishing attacks. |
| Cyberkriminelle haben eine Methode entwickelt, um Phishing-Angriffe durch den Missbrauch eines reservierten Teils des Domain Name Systems (DNS) zu verbreiten. Analysen von Infoblox Threat Intel zeigen, dass Angreifer Reverse-DNS-Einträge in der Top-Level-Domain .arpa nutzen, um betrügerische Websites zu hosten und gängige Sicherheitsmechanismen zu umgehen.
Die .arpa-Domain dient normalerweise der Zuordnung von IP-Adressen zu Domains und der Bereitstellung von Reverse-DNS-Einträgen, nicht dem Hosting von Webinhalten. Im Gegensatz zu üblichen Domains wie .com oder .net wird .arpa oft von Sicherheitslösungen nicht als potenzielle Bedrohung betrachtet. Die Angreifer erstellen IP-Adress-Einträge für .arpa-Domains über bestimmte DNS-Anbieter und erlangen Zugang zu einer großen Zahl von IP-Adressen durch IPv6-Tunnel. Diese Tunnel sind ursprünglich für den Übergang von IPv4- zu IPv6-Netzwerken gedacht, werden hier jedoch für schädliche Zwecke umfunktioniert. In den beobachteten Kampagnen versenden die Täter Phishing-E-Mails, die sich als bekannte Marken ausgeben und Gratisgeschenke oder Gewinne versprechen. Die Nachrichten enthalten ein einzelnes Bild mit einem eingebetteten Hyperlink, der die Empfänger über Traffic-Distribution-Systeme (TDS) auf schädliche Seiten weiterleitet. Die tatsächliche Zieladresse bleibt dabei verborgen, und die .arpa-basierten Zeichenfolgen erscheinen nicht in der sichtbaren URL. Dr. Renée Burton, Expertin für Bedrohungsanalysen, betont: „Wenn Angreifer .arpa missbrauchen, nutzen sie den Kern des Internets für Attacken. Der Reverse-DNS-Bereich ist nicht für Webinhalte vorgesehen, weshalb viele Systeme ihn ignorieren. Dadurch umgehen die Täter Schutzmechanismen, die auf Domain-Reputation oder URL-Strukturen basieren. IT-Teams sollten die DNS-Infrastruktur als mögliche Angriffsfläche betrachten und Transparenz schaffen, um Missbrauch zu erkennen.“ Diese Entwicklung unterstreicht die Notwendigkeit, DNS-Infrastruktur stärker zu überwachen. Bisherige Sicherheitsansätze, die sich auf bekannte Domains konzentrieren, reichen möglicherweise nicht aus, um solche Angriffe abzuwenden. Betroffene Organisationen könnten ihre Systeme anpassen, um auch den .arpa-Bereich zu prüfen und verdächtige Aktivitäten zu identifizieren. |
Cybercriminals have developed a method to spread phishing attacks by abusing a reserved part of the Domain Name System (DNS). Analyzsis by Infoblox Threat Intel shows that attackers are using reverse DNS entries in the top-level domain .arpa to host fraudulent websites and bypass common security mechanisms.
The .arpa domain is normally used for mapping IP addresses to domains and providing reverse DNS entries, not for hosting web content. Unlike common domains like .com or .net, .arpa is often not considered a potential threat by security solutions. The attackers create IP address entries for .arpa domains thru certain DNS providers and gain access to a large number of IP addresses via IPv6 tunnels. These tunnels were originally intended for the transition from IPv4 to IPv6 networks, but are being repurposed here for malicious purposes. In the observed campaigns, the perpetrators send phishing emails that impersonate well-known brands and promise free gifts or prizes. The messages contain a single image with an embedded hyperlink that redirects recipients to malicious pages via traffic distribution systems (TDS). The actual target address remains hidden, and the .arpa-based strings do not appear in the visible URL. Dr. Renée Burton, a threat analysis expert, emphasizes: „When attackers misuse .arpa, they are exploiting the core of the internet for attacks.“ The reverse DNS zone is not intended for web content, which is why many systems ignore it. This allows perpetrators to bypass protection mechanisms based on domain reputation or URL structures. IT teams should consider the DNS infrastructure as a potential attack surface and create transparency to detect misuse. This development underscores the need for greater monitoring of DNS infrastructure. Previous security approaches that focus on known domains may not be sufficient to prevent such attacks. Affected organizations could adjust their systems to also check the .arpa domain and identify suspicious activities. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de