phishing-4

Revolver Rabbit banden køber 500.000 domæner til malware-kampagner

Cyberkriminel bande bruger 1 million dollars på domæner til XLoader malware. En cyberkriminel bande, som forskere følger under navnet Revolver Rabbit, har registreret mere end 500.000 domænenavne til infostealer-kampagner, der retter sig mod Windows- og macOS-systemer. Investeringen må sige at være udtryk for at de tjener pengene ind igen.

For at operere i så stor skala, benytter trusselsaktøren sig af registrerede domænegenereringsalgoritmer (RDGA’er), en automatiseret metode, der gør det muligt at registrere flere domænenavne på et øjeblik.

RDGA’er ligner de domæneregistreringsalgoritmer (DGA’er), som cyberkriminelle implementerer i malware for at skabe en liste over potentielle destinationer til command and control (C2) kommunikation.

En forskel mellem de to er, at DGA’er er indlejret i malwaren, og kun nogle af de genererede domæner er registreret, mens RDGA’er forbliver hos trusselsaktøren, og alle domæner er registreret.

Mens forskere kan opdage DGA’er og forsøge at reverse-engineere dem for at lære de potentielle C2-domæner at kende, er RDGA’er hemmelige, og det er derfor en mere udfordrende opgave at finde mønstret for at generere domænerne til registrering.

Revolver Rabbit driver over 700.000 domæner til Phishing og Malware

Forskere hos den DNS-fokuserede sikkerhedsleverandør Infoblox har opdaget, at Revolver Rabbit har brugt RDGA’er til at købe hundredtusindvis af domæner, hvilket svarer til mere end 1 million dollars i registreringsgebyrer.

Trusselsaktøren distribuerer XLoader infostealer malware, efterfølgeren til Formbook, med varianter til Windows og macOS-systemer for at indsamle følsomme oplysninger eller udføre ondsindede filer.

Infoblox oplyser, at Revolver Rabbit kontrollerer mere end 500.000 .BOND topdomæner, der bruges til at skabe både lokke- og aktive C2-servere til malwaren.

Renée Burton, VP for Threat Intel hos Infoblox, siger til flere datasikkerheds nyhedsmedier, at .BOND domæner relateret til Revolver Rabbit er de nemmeste at se, men trusselsaktøren har registreret mere end 700.000 domæner over tid på flere TLD’er.

Da prisen på et .BOND domæne er omkring 2 dollars, er den “investering”, Revolver Rabbit har foretaget i deres XLoader-operation, tæt på 1 million dollars, eksklusive tidligere køb eller domæner på andre TLD’er.

“Mønstret, som denne aktør oftest bruger, er en række af et eller flere ordbogsord efterfulgt af et femcifret tal, med hvert ord eller tal adskilt af en bindestreg,” udtaler Infoblox.

Domænerne er typisk lette at læse, ser ud til at fokusere på et bestemt emne eller en region og viser en bred variation, som set i følgende eksempler:

  • usa-online-degree-29o[.]bond
  • bra-portable-air-conditioner-9o[.]bond
  • uk-river-cruises-8n[.]bond
  • ai-courses-17621[.]bond
  • app-software-development-training-52686[.]bond
  • assisted-living-11607[.]bond
  • online-jobs-42681[.]bond
  • perfumes-76753[.]bond
  • security-surveillance-cameras-42345[.]bond
  • yoga-classes-35904[.]bond

Forskerne siger, at “forbindelsen mellem Revolver Rabbit RDGA og en etableret malware efter måneders sporing fremhæver vigtigheden af at forstå RDGA’er som en teknik inden for trusselsaktørens værktøjskasse.”

Infoblox har fulgt Revolver Rabbit i næsten et år, men brugen af RDGA’er skjulte trusselsaktørens mål indtil for nylig.

Kampagner fra denne modstander er blevet observeret tidligere, men uden at gøre forbindelse til en operation så stor som den, Infoblox afslørede.

For eksempel giver malware-analysetjenesten fra incident response-firmaet Security Joes tekniske detaljer om en Formbook infostealer-prøve, der har mere end 60 lokke C2-servere, men kun et domæne i .BOND TLD er det rigtige.

Flere trusselsaktører bruger RDGA’er til ondsindede operationer, der spænder fra malware-distribution og phishing til spam-kampagner og svindel samt routing af trafik til ondsindede steder via trafikdistributionssystemer (TDS’er).

Kilde: ICARE.DK
Fotokredit: ICARE AI generet
Personer/Firmaer/Emner/#: #RevolverRabbit, #XLoader, #Infoblox, #cyberkriminalitet
Copyrights: Ⓒ 2024 Copyright by https://ICARE.DK – kan deles ved aktivt link til denne artikel.

Cybersikkerhed & Nyheder

Ransomware bande kræver 478 millioner kroner, Men TSMC afviser at være udsat for hacking

ByMichael Rasmussen

Taiwan Semiconductor Manufacturing Company Limited (TSMC; også kaldet Taiwan Semiconductor) er en taiwansk multinational halvlederkontraktproduktions- og designvirksomhed. Det er verdens mest værdifulde halvledervirksomhed, verdens største dedikerede uafhængige (“pure-play”) halvleder foundry og landets største virksomhed, med hovedkvarter og hovedaktiviteter beliggende i Hsinchu Science Park i Hsinchu. Virksomheden er hovedsageligt ejet af udenlandske investorer, men med Taiwans…
| | | |

Agil Udvikling A/S tilbyder AMP SEO Webdesign med beskyttelse mod Ransomware og DDOS som standard

ByDatasikkerhed

Få Webdesign & ShopDesign fra 44 danske og 1.600 udenlandske webdesignere Agil Udvikling A/S er en udbyder af AMP Webdesign der tilbyder et komplet dynamisk website til kun 4.995,-Prisen er indtil 31/12 kun 4.995,- modsat 14.995,- ex. moms efter denne dato, men det mest interessante er at det både er nlandt de hurtigste i Danmark,…

NIS2 implementering i Danmark

ByMichael Rasmussen

NIS2-direktivet, der blev vedtaget sidste år kan ende med at koster det danske samfund mere end 50 milliarder kroner. Det er en ny virkelighed, der med bøder vil ramme utroligt mange virksomheder i Danmark. NIS2 er vedtaget sidste sommer, og medlemsstaterne har nu indtil 16. oktober 2024 til at implementere direktivet. Lovgivningen kom som følge…
|

Verdens største DDoS-angreb nogensinde er blevet stoppet af Microsoft

ByMichael Rasmussen

I denne artikel skriver vi lidt om verdens største DDOS angreb, som kan være en forsmag på de DDOS angreb der vil komme i fremtiden. Derfor er det vigtigt at du kontakter enten os eller din IT leverandør for udstyr til at stoppe DDOS angreb og/eller WEBSITE DDOS foranstaltninger til standsning af DDOS angreb mod…

DDOS hackere rammer VoIP-udbydere i stor kampagne: »Aldrig set mage«

ByMichael Rasmussen

»Vi har aldrig set noget lignende, siden vi blev etableret tilbage i 2004,« siger en talsmand i brancheorganisationen Comms Council UK. Her til morgen blev en stor del af de Britiske VoIP-udbydere er for tiden under angreb. Ifølge Brancheorganisationen siges det at kampagnen er en specificeret “koordineret, international og afpresningsfokuseret” DDoS-kampagne. Ofrende tæller flere hundrede…

Gatekeepers akilleshæl: Afsløring af en macOS-sårbarhed

ByMichael Rasmussen

Den 27. juli 2022 opdagede Microsoft en sårbarhed i macOS, der kan give angribere mulighed for at omgå begrænsninger for applikationsudførelse, der er pålagt af Apples Gatekeeper-sikkerhedsmekanisme, designet til at sikre, at kun pålidelige apps kører på Mac-enheder. Microsoft udviklede en proof-of-concept-udnyttelse for at demonstrere sårbarheden, som vi kalder “Achilles”. Gatekeeper-bypasses som denne kan udnyttes…