Revolver Rabbit 團(tuán)伙注冊(cè)了 500,000 個(gè)域名用于惡意軟件活動(dòng)

胡金魚(yú)
安全研究人員追蹤的網(wǎng)絡(luò)犯罪團(tuán)伙Revolver Rabbit已注冊(cè)了超過(guò)50萬(wàn)個(gè)域名,用于針對(duì)Windows和macOS系統(tǒng)的信息竊取活動(dòng)。為了進(jìn)行如此大規(guī)模的攻擊,威脅者依賴于注冊(cè)域生成算法(RDGA),這是一種允許在瞬間注冊(cè)多個(gè)域名的自動(dòng)化方法。

本文來(lái)自微信公眾號(hào)“嘶吼專業(yè)版”,作者/胡金魚(yú)。

安全研究人員追蹤的網(wǎng)絡(luò)犯罪團(tuán)伙Revolver Rabbit已注冊(cè)了超過(guò)50萬(wàn)個(gè)域名,用于針對(duì)Windows和macOS系統(tǒng)的信息竊取活動(dòng)。為了進(jìn)行如此大規(guī)模的攻擊,威脅者依賴于注冊(cè)域生成算法(RDGA),這是一種允許在瞬間注冊(cè)多個(gè)域名的自動(dòng)化方法。

RDGA類似于網(wǎng)絡(luò)犯罪分子在惡意軟件中實(shí)施的域名注冊(cè)算法(DGA),用于創(chuàng)建命令和控制(C2)通信的潛在目的地列表。

兩者之間的一個(gè)區(qū)別是,DGA嵌入在惡意軟件中,并且只有部分生成的域被注冊(cè),而RDGA仍保留在威脅行為者手中,并且所有域都已注冊(cè)。

雖然安全研究人員發(fā)現(xiàn)DGA并嘗試對(duì)其進(jìn)行逆向工程以了解潛在的C2域,但RDGA是秘密的,找到生成要注冊(cè)的域的模式變得更加具有挑戰(zhàn)性。

Revolver Rabbit運(yùn)營(yíng)著超過(guò)500,000個(gè)域名

專注于DNS的安全供應(yīng)商Infoblox的研究人員發(fā)現(xiàn),Revolver Rabbit一直在使用RDGA購(gòu)買(mǎi)數(shù)十萬(wàn)個(gè)域名,注冊(cè)費(fèi)總計(jì)超過(guò)100萬(wàn)美元。

威脅者正在傳播XLoader信息竊取惡意軟件(Formbook的后繼者),其適用于Windows和macOS系統(tǒng)的變種用于收集敏感信息或執(zhí)行惡意文件。

Infoblox表示,Revolver Rabbit控制著超過(guò)500,000個(gè).BOND頂級(jí)域名,這些域名用于為惡意軟件創(chuàng)建誘餌和實(shí)時(shí)C2服務(wù)器。

Infoblox威脅情報(bào)副總裁告訴媒體,與Revolver Rabbit相關(guān)的.BOND域名最容易發(fā)現(xiàn),但威脅者隨著時(shí)間的推移已經(jīng)在多個(gè)TLD上注冊(cè)了超過(guò)700,000個(gè)域名。

考慮到.BOND域名的價(jià)格約為2美元,Revolver Rabbit在其XLoader操作中的“投資”接近100萬(wàn)美元,不包括過(guò)去購(gòu)買(mǎi)的域名或其他TLD上的域名。

Infoblox表示:“該攻擊者使用的最常見(jiàn)的RDGA模式是一系列由一個(gè)或多個(gè)字典單詞和五位數(shù)字組成的序列,每個(gè)單詞或數(shù)字之間用破折號(hào)分隔。”

這些域名通常易于閱讀,似乎專注于特定主題或地區(qū),并顯示出多樣性,如以下示例所示:

·usa-online-degree-29o[.]bond

·bra-portable-air-conditioner-9o[.]bond

·uk-river-cruises-8n[.]bond

·ai-courses-17621[.]bond

·app-software-development-training-52686[.]bond

·assisted-living-11607[.]bond

·online-jobs-42681[.]bond

·perfumes-76753[.]bond

·security-surveillance-cameras-42345[.]bond

·yoga-classes-35904[.]bond

研究人員表示:經(jīng)過(guò)數(shù)月的追蹤,將Revolver Rabbit RDGA與已建立的惡意軟件聯(lián)系起來(lái),凸顯了了解RDGA作為威脅者工具箱中的一種技術(shù)的重要性。

Infoblox已跟蹤Revolver Rabbit近一年,但直到最近,RDGA的使用才掩蓋了威脅者的目標(biāo)。過(guò)去曾觀察到該對(duì)手的攻擊活動(dòng),但并未將其與Infoblox發(fā)現(xiàn)的規(guī)模如此之大的行動(dòng)聯(lián)系起來(lái)。

例如,事件響應(yīng)公司Security Joes的惡意軟件分析工具提供了有關(guān)Formbook信息竊取程序樣本的技術(shù)細(xì)節(jié),該樣本擁有60多個(gè)誘餌C2服務(wù)器,但.BOND TLD中只有一個(gè)域是真實(shí)的。

多個(gè)威脅者正在使用RDGA進(jìn)行惡意操作,包括惡意軟件傳送和網(wǎng)絡(luò)釣魚(yú)、垃圾郵件活動(dòng)和詐騙,以及通過(guò)流量分配系統(tǒng)(TDS)將流量路由到惡意位置。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論