“投资”近100万美元,RevolverRabbit注册50万个域名进行恶意活动

FreeBuf 2024-07-19 14:20:19

近日,专注于 DNS 的安全厂商 Infoblox 的研究人员发现,一个名为 Revolver Rabbit 的网络犯罪团伙注册了 50 多万个域名,通过散布一种叫 XLoader(Formbook 的后继者)的信息窃取恶意软件,收集 Windows 和 macOS 系统的敏感信息或对其执行恶意代码。

为了以如此大的规模开展行动,该威胁行为者依赖于注册域名生成算法(RDGAs),这是一种可以在瞬间注册多个域名的自动化方法。RDGAs 类似于恶意软件中的域名注册算法 (DGAs),网络犯罪分子利用这种算法创建潜在的指挥与控制 (C2) 通信目的地列表。

两者之间的一个区别是,DGAs 嵌入在恶意软件中,只有部分生成的域名会被注册,而 RDGAs 则保留在威胁行为者手中,所有域名都会被注册。

研究人员可以通过分析 DGAs 并对其进行逆向工程,以了解潜在的 C2 域名,但 RDGAs 是保密的,这就让找到生成要注册域名的模式变得更具挑战性。

Infoblox 称,Revolver Rabbit 控制着 50 多万个 .BOND 顶级域名,这些域名被用来为恶意软件创建诱饵和实时 C2 服务器。考虑到一个 .BOND 域名的价格约为 2 美元,Revolver Rabbit 在其 XLoader 业务上的 “投资 ”接近 100 万美元,这还不包括过去在其他顶级域名上购买的域名。

Infoblox 表示:"这种威胁行为者最常用的 RDGAs 模式是一系列一个或多个字典单词,后面跟着一个五位数的数字,每个单词或数字之间用破折号隔开。”

这些域名通常很容易阅读,似乎专注一个特定的主题或地区,显示出广泛的多样性,示例如下:

usa-online-degree-29o[.]bond

bra-portable-air-conditioner-9o[.]bond

uk-river-cruises-8n[.]bond

ai-courses-17621[.]bond

app-software-development-training-52686[.]bond

assisted-living-11607[.]bond

online-jobs-42681[.]bond

perfumes-76753[.]bond

security-surveillance-cameras-42345[.]bond

yoga-classes-35904[.]bond

研究人员说,“最近几个月的跟踪,他们发现 Revolver Rabbit RDGAs 和一些已知的恶意软件有联系,这凸显了 RDGAs 作为威胁行为者工具箱中的一种技术的重要性”。

Infoblox 追踪 Revolver Rabbit 已近一年,但直到最近才弄清楚他们的真实面目。虽然过去也观察到过类似的活动,但没有意识到它们背后有这么大的操作。

参考来源:https://www.bleepingcomputer.com/news/security/revolver-rabbit-gang-registers-500-000-domains-for-malware-campaigns/

0 阅读:3

FreeBuf

简介:国内头部网络安全媒体。