Исследователи в области кибербезопасности зафиксировали тревожную тенденцию: злоумышленники все активнее используют услуги динамических DNS-провайдеров для размещения вредоносной инфраструктуры. Эта тактика создает серьезные риски для компаний по всему миру, позволяя преступникам уклоняться от традиционных мер защиты.
Динамические DNS-провайдеры, также известные как сервисы по аренде публичных поддоменов, привлекают злоумышленников своей доступностью и минимальным регулированием. По своей сути, эти услуги функционируют как «мини-регистраторы доменных имен», но без того уровня проверок, с которым сталкиваются легитимные регистраторы. В отличие от традиционной процедуры регистрации домена, требующей соблюдения процессов ICANN и IANA, динамическим провайдерам достаточно приобрести домен и настроить собственную маршрутизирующую инфраструктуру.
Согласно последним исследованиям компании Silent Push, в настоящее время более 70 000 доменов сдают поддомены в аренду через подобные сервисы. Многие из них работают при минимальном надзоре и слабых мерах безопасности. Привлекательность для киберпреступников заключается в нескольких ключевых факторах. Многие провайдеры принимают платежи в криптовалюте и рекламируют анонимную регистрацию без требования предоставления персональных данных. Это сочетание анонимности и минимальной верификации создает идеальную среду для создания злоумышленниками инфраструктуры управления и контроля, позволяющей уклоняться от обнаружения.
Экосистема аренды поддоменов включает различные модели обслуживания, каждая из которых представляет свои проблемы для безопасности. Услуги с ограниченным контролем, такие как Blogspot, ограничивают настройку DNS-записей типа A, но позволяют управлять контентом, причем существуют методы обхода стандартных ограничений. Платформы с контролем только над контентом, например pages.dev, позволяют пользователям свободно устанавливать контент, в то время как контроль над DNS-записями и IP-адресами сохраняется за провайдером. Наибольший риск представляют услуги с полным контролем, такие как afraid[.]org, которые обычно доступны через платные тарифы и предоставляют злоумышленникам максимальную гибкость для вредоносной деятельности.
Ведущие группы угроз активно используют сервисы динамического DNS в своих операциях. Группа APT29 (Advanced Persistent Threat) в 2022 году применяла исключительно домены динамического DNS для командования и управления своей операцией QUIETEXIT. Группа Gamaredon была замечена в использовании этих сервисов в кампаниях против украинских компаний, а группа Scattered Spider включала публично арендуемые домены в свои операции в январе 2025 года. Группа APT28 (Fancy Bear) была особо упомянута в отчете ФБР за 2024 год за активное использование доменов динамического DNS. Широкое распространение этих услуг среди продвинутых устойчивых угроз демонстрирует их эффективность в уклонении от традиционных мер безопасности. Другие заметные случаи включают использование APT33 как кастомных, так и динамических DNS-доменов, сильную зависимость угрозы DDGroup от этих сервисов для C2-коммуникаций и задокументированное использование группой APT Gallium в 2022 году. Исторический прецедент восходит к 2014 году, когда Microsoft возглавила усилия по изъятию доменов No-IP Dynamic DNS, которые активно использовались в непрерывных атаках.
Последствия злоупотребления динамическим DNS выходят за рамки простого хостинга доменов. Эти сервисы могут случайно попадать в корпоративные списки разрешений (allow lists), создавая потенциальные бреши в безопасности, когда сотрудники запрашивают доступ к заблокированному контенту. Когда злоумышленники контролируют поддомены на сервисах, которые не реагируют на жалобы о злоупотреблениях, такая инфраструктура становится чрезвычайно привлекательной для коммуникаций управления и контроля. В отличие от традиционных доменов, где для запросов на снятие можно обращаться и к регистраторам, и к хостинг-провайдерам, сервисы динамического DNS часто предлагают ограниченные возможности для исправления ситуации. Сохранение вредоносных поддоменов представляет собой серьезную проблему: даже когда компании по кибербезопасности выявляют и сообщают о вредоносной активности, поддомены могут оставаться активными из-за безответственных провайдеров или неадекватных процедур обработки злоупотреблений.
Ландшафт угроз, связанных с динамическим DNS, продолжает развиваться по мере роста популярности этих сервисов как среди законных пользователей, так и среди злоумышленников. Многие провайдеры действуют как компании-однодневки или сущности с задокументированной историей игнорирования жалоб на злоупотребления. Деловой сектор, поддерживающий схемы аренды поддоменов, демонстрирует больше вредоносных усилий, чем доброкачественных, причем некоторые корпоративные решения подвергаются активной эксплуатации со стороны серьезных злоумышленников.
