Aggregator

网络黑产团伙正在滥用专用顶级域名 .arpa 以及 IPv6 反向域名解析（DNS）开展钓鱼活动，此类攻击可更轻松地绕过域名信誉检测机制与邮件安全网关。

.arpa 是为互联网基础设施预留的特殊顶级域名，并非用于普通网站，主要用于反向 DNS 解析，即让系统将 IP 地址反向映射为对应的主机名。

例如，www.google.com 的 IP 地址为 192.178.50.36 (IPv4) 和 2607:f8b0:4008:802::2004 (IPv6)。使用 dig 工具查询 Google 的 IP 地址 192.178.50.36 会解析为 in-addr.arpa 主机名，最终解析为常规主机名：

查询 Google 的 IPv6 地址 2607:f8b0:4008:802::2004 显示，它首先解析为 IPv6.arpa 主机名，然后解析为主机名，如下所示。

钓鱼攻击滥用 .arpa 域名的真实手法

安全研究员观测到的一起钓鱼攻击活动，正是利用了 ip6.arpa 这一反向 DNS 顶级域名。正常情况下，该域名仅用于 PTR 记录，实现 IPv6 地址到主机名的反向映射。

但攻击者发现：只要申请并持有一段专属的 IPv6 地址段，就可以控制该网段对应的反向 DNS 区域，并在其中配置额外的 DNS 记录，用于搭建钓鱼站点。

在标准 DNS 功能中，反向 DNS 域名仅用于 PTR 记录，用于查询 IP 对应的主机名。然而攻击者发现，在获取某段 IPv6 地址的 DNS 区域控制权后，部分 DNS 管理平台允许其配置非 PTR 类型的记录，进而被滥用于钓鱼攻击。

研究员指出：发现黑产团伙利用Hurricane Electric与 Cloudflare 平台创建此类记录——这两家服务商本身信誉良好，攻击者正是利用了这一点。同时，其他部分 DNS 服务商也支持此类配置。

下图展示了攻击者构造钓鱼邮件所用域名的完整流程，为搭建攻击基础设施，攻击者先通过 IPv6 隧道服务获取一段 IPv6 地址。

对 .arpa 顶级域名在网络钓鱼邮件中被滥用情况的概述

在获得地址段控制权后，攻击者基于该 IPv6 网段生成反向 DNS 主机名，并搭配随机子域名，使其难以被检测和封堵。

与常规配置 PTR 记录不同，攻击者直接创建 A 记录，将这些反向 DNS 域名指向钓鱼站点服务器。该钓鱼活动中的邮件通常以奖品、调研奖励或账户通知为诱饵，并将恶意链接伪装成图片嵌入邮件。

网络钓鱼邮件诱饵

链接地址如：d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa而非常规域名，受害者在界面上无法直接看到可疑的 .arpa 域名。

当受害者点击钓鱼邮件中的图片时，设备会通过第三方 DNS 服务商，解析到攻击者控制的反向 DNS 域名服务器。

使用 .arpa 主机名显示图像和链接的 HTML 代码

在部分案例中，权威域名服务器由 Cloudflare 托管，反向 DNS 域名最终解析至 Cloudflare IP，从而隐藏后端钓鱼基础设施的真实位置。

点击图片后，受害者会先被跳转至流量分发系统（TDS）。该系统会根据设备类型、IP 地址、页面来源等条件判断目标是否有效。符合条件者会被跳转到钓鱼页面，否则跳转到正常网站。

此类钓鱼链接存活时间极短，通常仅有效数天。链接失效后，会跳转至域名错误页面或正规网站。研究人员认为，这种做法是为了增加安全研究人员分析与溯源的难度。

此外，由于 .arpa 域名专用于互联网基础设施，不包含普通注册域名的公开信息，如 WHOIS 注册信息、域名年龄、联系方式等，导致邮件网关与安全工具更难识别其恶意属性。

研究人员还发现，该钓鱼活动同时结合了其他攻击手段，包括劫持悬空 CNAME 记录、子域名影子劫持等，使攻击者能够借助正规机构的子域名下发钓鱼内容。

研究员目前已发现超过 100 个相关案例，攻击者劫持了知名政府机构、高校、电信运营商、媒体机构及零售企业的 CNAME 记录。通过将安全工具普遍信任的反向 DNS 机制武器化，攻击者可生成能够绕过传统检测规则的钓鱼 URL。

与所有钓鱼防御建议一致，抵御此类攻击最有效的方式，仍是避免点击邮件中来历不明的链接，直接通过官方网站访问相关服务。

嘶吼安全动态

【国内新闻】

国家安全部：搜索引擎排名遭 “投毒”，恶意链接暗藏窃取风险

摘要：国安机关发布提示，黑产篡改搜索排名植入恶意链接，用户误点易泄露信息、感染病毒；需核对网址、甄别来源，警惕 “排名优先即安全” 误区。

原文链接：https://baijiahao.baidu.com/s?id=1860864216516476469&wfr=spider&for=pc

央视实测弱口令风险：6位拼音密码2秒被破，8位复杂密码难破解

摘要：多起案例显示。企业/设备弱口令易遭撞库，泄露数据、威胁安全，需强制高复杂度密码。

原文链接：http://news.sina.cn/bignews/2026-03-28/detail-inhsqaqr7296218.d.html

北京发布视听科技支持办法，设立2.6亿元引导资金聚焦AI安全

摘要：北京市广播电视局在中关村论坛发布新规，重点支持超高清与AI视听创新。其中，AI内容的版权保护、算法备案及内容真实性审核技术被列为专项扶持的重中之重。

原文链接：https://www.beijing.gov.cn/fuwu/lqfw/gggs/202603/t20260330_4568996.html

2026年Q1 DeFi领域被盗超1.37亿美元，私钥泄露成主要诱因

摘要：2026年一季度DeFi安全事件频发，累计被盗超1.37亿美元；私钥泄露、智能合约漏洞为主要原因，涉及多个头部项目，需加强链上安全审计。

原文链接：http://www.16882.net/coin/017646cbf8.html

园区监控遭境外黑客撞库：默认弱口令被破，摄像头远程操控窥海域

摘要：某园区监控因默认弱口令被境外黑客撞库，摄像头自动转向海域、追踪船只；国安机关核查处置，警示工业设备需禁用初始密码、强化权限管控。

原文链接：http://finance.sina.com.cn/wm/2026-03-28/doc-inhspwhu5712594.shtml

【国外新闻】

Anthropic内部文档泄露：Claude Mythos可极速自动化挖掘利用漏洞

摘要：Anthropic因配置失误泄露3000份内部文档，曝光超旗舰AI模型Claude Mythos，可远超防御速度自动挖洞、攻击，引发AI安全领域震荡。

原文链接：http://m.toutiao.com/group/7622685049791578662

APT28 组织发动72小时闪电战，利用Office高危漏洞袭扰东欧

摘要：黑客组织APT28利用CVE-2026-21509（Office特性绕过漏洞）对9个国家发起密集钓鱼攻击。该漏洞允许攻击者通过恶意文档在未授权情况下执行代码，多国交通与国防部门中招。

原文链接：https://www.trellix.com/blogs/research/apt28-stealthy-campaign-leveraging-cve-2026-21509-cloud-c2/

Smart Slider插件的文件读取漏洞影响50万个WordPress网站

摘要：Smart Slider 3 WordPress插件存在一个漏洞，该漏洞已在超过80万个网站上激活，可被利用来允许订阅用户访问服务器上的任意文件。

原文链接：https://www.bleepingcomputer.com/news/security/file-read-flaw-in-smart-slider-plugin-impacts-500k-wordpress-sites/

伊朗网络战升级：间谍软件结合实体冲突

摘要：朗相关黑客通过短信传播恶意程序，在战时场景中针对安卓用户实施间谍攻击，获取设备权限并窃取敏感数据。

原文链接：https://apnews.com/article/iran-us-war-israel-data-centers-hacking-47fc34e48f2f952583d14b6c0664fc37

谷歌发布高风险Chrome安全更新

摘要：谷歌确认将向全球约35亿Chrome用户推送一次“高风险”安全更新，修复潜在严重漏洞。该漏洞可能被攻击者利用执行远程攻击或窃取数据。

原文链接：https://www.forbes.com/sites/daveywinder/2026/03/29/new-google-high-risk-security-update-for-35-billion-chrome-users/?utm_source=chatgpt.com