近日,专注于 DNS 的安全厂商 Infoblox 的研究人员发现,一个名为 Revolver Rabbit 的网络犯罪团伙注册了 50 多万个域名,通过散布一种叫 XLoader(Formbook 的后继者)的信息窃取恶意软件,收集 Windows 和 macOS 系统的敏感信息或对其执行恶意代码。
为了以如此大的规模开展行动,该威胁行为者依赖于注册域名生成算法(RDGAs),这是一种可以在瞬间注册多个域名的自动化方法。RDGAs 类似于恶意软件中的域名注册算法 (DGAs),网络犯罪分子利用这种算法创建潜在的指挥与控制 (C2) 通信目的地列表。
两者之间的一个区别是,DGAs 嵌入在恶意软件中,只有部分生成的域名会被注册,而 RDGAs 则保留在威胁行为者手中,所有域名都会被注册。
研究人员可以通过分析 DGAs 并对其进行逆向工程,以了解潜在的 C2 域名,但 RDGAs 是保密的,这就让找到生成要注册域名的模式变得更具挑战性。
Infoblox 称,Revolver Rabbit 控制着 50 多万个 .BOND 顶级域名,这些域名被用来为恶意软件创建诱饵和实时 C2 服务器。考虑到一个 .BOND 域名的价格约为 2 美元,Revolver Rabbit 在其 XLoader 业务上的 “投资 ”接近 100 万美元,这还不包括过去在其他顶级域名上购买的域名。
Infoblox 表示:"这种威胁行为者最常用的 RDGAs 模式是一系列一个或多个字典单词,后面跟着一个五位数的数字,每个单词或数字之间用破折号隔开。”
这些域名通常很容易阅读,似乎专注一个特定的主题或地区,显示出广泛的多样性,示例如下:
usa-online-degree-29o[.]bond
bra-portable-air-conditioner-9o[.]bond
uk-river-cruises-8n[.]bond
ai-courses-17621[.]bond
app-software-development-training-52686[.]bond
assisted-living-11607[.]bond
online-jobs-42681[.]bond
perfumes-76753[.]bond
security-surveillance-cameras-42345[.]bond
yoga-classes-35904[.]bond
研究人员说,“最近几个月的跟踪,他们发现 Revolver Rabbit RDGAs 和一些已知的恶意软件有联系,这凸显了 RDGAs 作为威胁行为者工具箱中的一种技术的重要性”。
Infoblox 追踪 Revolver Rabbit 已近一年,但直到最近才弄清楚他们的真实面目。虽然过去也观察到过类似的活动,但没有意识到它们背后有这么大的操作。
参考来源:https://www.bleepingcomputer.com/news/security/revolver-rabbit-gang-registers-500-000-domains-for-malware-campaigns/