近日，专注于 DNS 的安全厂商 Infoblox 的研究人员发现，一个名为 Revolver Rabbit 的网络犯罪团伙注册了 50 多万个域名，通过散布一种叫 XLoader（Formbook 的后继者）的信息窃取恶意软件，收集 Windows 和 macOS 系统的敏感信息或对其执行恶意代码。

为了以如此大的规模开展行动，该威胁行为者依赖于注册域名生成算法（RDGAs），这是一种可以在瞬间注册多个域名的自动化方法。RDGAs 类似于恶意软件中的域名注册算法 (DGAs)，网络犯罪分子利用这种算法创建潜在的指挥与控制 (C2) 通信目的地列表。

两者之间的一个区别是，DGAs 嵌入在恶意软件中，只有部分生成的域名会被注册，而 RDGAs 则保留在威胁行为者手中，所有域名都会被注册。

研究人员可以通过分析 DGAs 并对其进行逆向工程，以了解潜在的 C2 域名，但 RDGAs 是保密的，这就让找到生成要注册域名的模式变得更具挑战性。

Infoblox 称，Revolver Rabbit 控制着 50 多万个 .BOND 顶级域名，这些域名被用来为恶意软件创建诱饵和实时 C2 服务器。考虑到一个 .BOND 域名的价格约为 2 美元，Revolver Rabbit 在其 XLoader 业务上的 “投资 ”接近 100 万美元，这还不包括过去在其他顶级域名上购买的域名。

Infoblox 表示："这种威胁行为者最常用的 RDGAs 模式是一系列一个或多个字典单词，后面跟着一个五位数的数字，每个单词或数字之间用破折号隔开。”

这些域名通常很容易阅读，似乎专注一个特定的主题或地区，显示出广泛的多样性，示例如下：

usa-online-degree-29o[.]bond

bra-portable-air-conditioner-9o[.]bond

uk-river-cruises-8n[.]bond

ai-courses-17621[.]bond

app-software-development-training-52686[.]bond

assisted-living-11607[.]bond

online-jobs-42681[.]bond

perfumes-76753[.]bond

security-surveillance-cameras-42345[.]bond

yoga-classes-35904[.]bond

研究人员说，“最近几个月的跟踪，他们发现 Revolver Rabbit RDGAs 和一些已知的恶意软件有联系，这凸显了 RDGAs 作为威胁行为者工具箱中的一种技术的重要性”。

Infoblox 追踪 Revolver Rabbit 已近一年，但直到最近才弄清楚他们的真实面目。虽然过去也观察到过类似的活动，但没有意识到它们背后有这么大的操作。

参考来源：https://www.bleepingcomputer.com/news/security/revolver-rabbit-gang-registers-500-000-domains-for-malware-campaigns/