本文来自微信公众号“嘶吼专业版”,作者/胡金鱼。
安全研究人员追踪的网络犯罪团伙Revolver Rabbit已注册了超过50万个域名,用于针对Windows和macOS系统的信息窃取活动。为了进行如此大规模的攻击,威胁者依赖于注册域生成算法(RDGA),这是一种允许在瞬间注册多个域名的自动化方法。
RDGA类似于网络犯罪分子在恶意软件中实施的域名注册算法(DGA),用于创建命令和控制(C2)通信的潜在目的地列表。
两者之间的一个区别是,DGA嵌入在恶意软件中,并且只有部分生成的域被注册,而RDGA仍保留在威胁行为者手中,并且所有域都已注册。
虽然安全研究人员发现DGA并尝试对其进行逆向工程以了解潜在的C2域,但RDGA是秘密的,找到生成要注册的域的模式变得更加具有挑战性。
Revolver Rabbit运营着超过500,000个域名
专注于DNS的安全供应商Infoblox的研究人员发现,Revolver Rabbit一直在使用RDGA购买数十万个域名,注册费总计超过100万美元。
威胁者正在传播XLoader信息窃取恶意软件(Formbook的后继者),其适用于Windows和macOS系统的变种用于收集敏感信息或执行恶意文件。
Infoblox表示,Revolver Rabbit控制着超过500,000个.BOND顶级域名,这些域名用于为恶意软件创建诱饵和实时C2服务器。
Infoblox威胁情报副总裁告诉媒体,与Revolver Rabbit相关的.BOND域名最容易发现,但威胁者随着时间的推移已经在多个TLD上注册了超过700,000个域名。
考虑到.BOND域名的价格约为2美元,Revolver Rabbit在其XLoader操作中的“投资”接近100万美元,不包括过去购买的域名或其他TLD上的域名。
Infoblox表示:“该攻击者使用的最常见的RDGA模式是一系列由一个或多个字典单词和五位数字组成的序列,每个单词或数字之间用破折号分隔。”
这些域名通常易于阅读,似乎专注于特定主题或地区,并显示出多样性,如以下示例所示:
·usa-online-degree-29o[.]bond
·bra-portable-air-conditioner-9o[.]bond
·uk-river-cruises-8n[.]bond
·ai-courses-17621[.]bond
·app-software-development-training-52686[.]bond
·assisted-living-11607[.]bond
·online-jobs-42681[.]bond
·perfumes-76753[.]bond
·security-surveillance-cameras-42345[.]bond
·yoga-classes-35904[.]bond
研究人员表示:经过数月的追踪,将Revolver Rabbit RDGA与已建立的恶意软件联系起来,凸显了了解RDGA作为威胁者工具箱中的一种技术的重要性。
Infoblox已跟踪Revolver Rabbit近一年,但直到最近,RDGA的使用才掩盖了威胁者的目标。过去曾观察到该对手的攻击活动,但并未将其与Infoblox发现的规模如此之大的行动联系起来。
例如,事件响应公司Security Joes的恶意软件分析工具提供了有关Formbook信息窃取程序样本的技术细节,该样本拥有60多个诱饵C2服务器,但.BOND TLD中只有一个域是真实的。
多个威胁者正在使用RDGA进行恶意操作,包括恶意软件传送和网络钓鱼、垃圾邮件活动和诈骗,以及通过流量分配系统(TDS)将流量路由到恶意位置。
