O bandă de infractori cibernetici pe care cercetătorii o urmăresc sub numele de Revolver Rabbit a înregistrat mai mult de 500.000 de nume de domenii pentru campanii de infostealer care vizează sistemele Windows și macOS.
Pentru a opera la o asemenea scară, actorul amenințării se bazează pe algoritmi de generare a domeniilor înregistrate (RDGAs), o metodă automatizată care permite înregistrarea a mai multor nume de domenii instantaneu.
RDGAs sunt similare cu algoritmii de înregistrare a domeniilor (DGAs) pe care infractorii cibernetici îi implementează în malware pentru a crea o listă de destinații potențiale pentru comunicarea de comandă și control (C2).
O diferență între cele două este că DGAs sunt încorporate în tulpinile malware-ului și doar unele dintre domeniile generate sunt înregistrate, în timp ce RDGAs rămân cu actorul amenințării, iar toate domeniile sunt înregistrate.
În timp ce cercetătorii pot descoperi DGAs și pot încerca să le reverseze pentru a învăța domeniile C2 potențiale, RDGAs sunt secrete, iar găsirea modelului de generare a domeniilor de înregistrat devine o sarcină mai dificilă.
Cercetătorii de la furnizorul de securitate axat pe DNS, Infoblox, au descoperit că Revolver Rabbit a folosit RDGAs pentru a cumpăra sute de mii de domenii, ceea ce înseamnă mai mult de 1 milion de dolari în taxe de înregistrare.
Actorul amenințării distribuie malware-ul de furat informații XLoader, succesorul Formbook, cu variante pentru sistemele Windows și macOS pentru a colecta informații sensibile sau a executa fișiere maligne.
Infoblox spune că Revolver Rabbit controlează mai mult de 500.000 de domenii de nivel superior .BOND care sunt folosite pentru a crea atât servere C2 false, cât și active pentru malware.
Renée Burton, VP de Threat Intel la Infoblox, a declarat pentru BleepingComputer că domeniile .BOND legate de Revolver Rabbit sunt cele mai ușor de văzut, dar actorul amenințării a înregistrat peste 700.000 de domenii de-a lungul timpului, pe mai multe TLD-uri.
Având în vedere că prețul unui domeniu .BOND este de aproximativ 2 dolari, „investiția” făcută de Revolver Rabbit în operațiunea lor XLoader se apropie de 1 milion de dolari, excluzând achizițiile anterioare sau domeniile de pe alte TLD-uri.
„Cel mai comun model RDGA pe care îl folosește acest actor este o serie de unul sau mai multe cuvinte din dicționar urmate de un număr de cinci cifre, fiecare cuvânt sau număr fiind separat printr-un cratimă,” Infoblox
Domeniile sunt în mod tipic ușor de citit, par a se concentra pe un anumit subiect sau regiune și arată o varietate largă, așa cum se vede în exemplele de mai jos:
Cercetătorii spun că „conectarea RDGA Revolver Rabbit la un malware stabilit după luni de urmărire subliniază importanța înțelegerii RDGAs ca tehnică în cadrul trusei de instrumente a actorului amenințării.”
Infoblox a urmărit Revolver Rabbit de aproape un an, dar utilizarea RDGAs a ascuns obiectivul actorului amenințării până recent.
Campaniile de la acest adversar au fost observate în trecut, dar fără a face o conexiune cu o operațiune la fel de mare precum cea descoperită de Infoblox.
De exemplu, instrumentul de analiză a malware-ului de la firma de răspuns la incidente Security Joes oferă detalii tehnice despre o mostră de infostealer Formbook care are mai mult de 60 de servere C2 false, dar doar un domeniu în TLD-ul .BOND este cel real.
Mai mulți actori de amenințare folosesc RDGAs pentru operațiuni maligne care variază de la livrarea de malware și phishing la campanii de spam și înșelăciuni, și rutarea traficului către locații maligne prin sisteme de distribuție a traficului (TDSs).
Logurile de malware de furat informații sunt folosite pentru a identifica membrii site-urilor de abuz asupra copiilor
Noul actor de amenințare Unfurling Hemlock inundă sistemele cu malware
Erorile false Google Chrome te păcălesc să rulezi scripturi PowerShell maligne
Malware-ul ViperSoftX rulează în mod discret PowerShell folosind scripturi AutoIT
Leave a Reply