phishing-4

Revolver Rabbit banden køber 500.000 domæner til malware-kampagner

Cyberkriminel bande bruger 1 million dollars på domæner til XLoader malware. En cyberkriminel bande, som forskere følger under navnet Revolver Rabbit, har registreret mere end 500.000 domænenavne til infostealer-kampagner, der retter sig mod Windows- og macOS-systemer. Investeringen må sige at være udtryk for at de tjener pengene ind igen.

For at operere i så stor skala, benytter trusselsaktøren sig af registrerede domænegenereringsalgoritmer (RDGA’er), en automatiseret metode, der gør det muligt at registrere flere domænenavne på et øjeblik.

RDGA’er ligner de domæneregistreringsalgoritmer (DGA’er), som cyberkriminelle implementerer i malware for at skabe en liste over potentielle destinationer til command and control (C2) kommunikation.

En forskel mellem de to er, at DGA’er er indlejret i malwaren, og kun nogle af de genererede domæner er registreret, mens RDGA’er forbliver hos trusselsaktøren, og alle domæner er registreret.

Mens forskere kan opdage DGA’er og forsøge at reverse-engineere dem for at lære de potentielle C2-domæner at kende, er RDGA’er hemmelige, og det er derfor en mere udfordrende opgave at finde mønstret for at generere domænerne til registrering.

image-19

Revolver Rabbit driver over 700.000 domæner til Phishing og Malware

Forskere hos den DNS-fokuserede sikkerhedsleverandør Infoblox har opdaget, at Revolver Rabbit har brugt RDGA’er til at købe hundredtusindvis af domæner, hvilket svarer til mere end 1 million dollars i registreringsgebyrer.

Trusselsaktøren distribuerer XLoader infostealer malware, efterfølgeren til Formbook, med varianter til Windows og macOS-systemer for at indsamle følsomme oplysninger eller udføre ondsindede filer.

Infoblox oplyser, at Revolver Rabbit kontrollerer mere end 500.000 .BOND topdomæner, der bruges til at skabe både lokke- og aktive C2-servere til malwaren.

Renée Burton, VP for Threat Intel hos Infoblox, siger til flere datasikkerheds nyhedsmedier, at .BOND domæner relateret til Revolver Rabbit er de nemmeste at se, men trusselsaktøren har registreret mere end 700.000 domæner over tid på flere TLD’er.

Da prisen på et .BOND domæne er omkring 2 dollars, er den “investering”, Revolver Rabbit har foretaget i deres XLoader-operation, tæt på 1 million dollars, eksklusive tidligere køb eller domæner på andre TLD’er.

“Mønstret, som denne aktør oftest bruger, er en række af et eller flere ordbogsord efterfulgt af et femcifret tal, med hvert ord eller tal adskilt af en bindestreg,” udtaler Infoblox.

Domænerne er typisk lette at læse, ser ud til at fokusere på et bestemt emne eller en region og viser en bred variation, som set i følgende eksempler:

  • usa-online-degree-29o[.]bond
  • bra-portable-air-conditioner-9o[.]bond
  • uk-river-cruises-8n[.]bond
  • ai-courses-17621[.]bond
  • app-software-development-training-52686[.]bond
  • assisted-living-11607[.]bond
  • online-jobs-42681[.]bond
  • perfumes-76753[.]bond
  • security-surveillance-cameras-42345[.]bond
  • yoga-classes-35904[.]bond

Forskerne siger, at “forbindelsen mellem Revolver Rabbit RDGA og en etableret malware efter måneders sporing fremhæver vigtigheden af at forstå RDGA’er som en teknik inden for trusselsaktørens værktøjskasse.”

Infoblox har fulgt Revolver Rabbit i næsten et år, men brugen af RDGA’er skjulte trusselsaktørens mål indtil for nylig.

Kampagner fra denne modstander er blevet observeret tidligere, men uden at gøre forbindelse til en operation så stor som den, Infoblox afslørede.

For eksempel giver malware-analysetjenesten fra incident response-firmaet Security Joes tekniske detaljer om en Formbook infostealer-prøve, der har mere end 60 lokke C2-servere, men kun et domæne i .BOND TLD er det rigtige.

Flere trusselsaktører bruger RDGA’er til ondsindede operationer, der spænder fra malware-distribution og phishing til spam-kampagner og svindel samt routing af trafik til ondsindede steder via trafikdistributionssystemer (TDS’er).

Kilde: ICARE.DK
Fotokredit: ICARE AI generet
Personer/Firmaer/Emner/#: #RevolverRabbit, #XLoader, #Infoblox, #cyberkriminalitet
Copyrights: Ⓒ 2024 Copyright by https://ICARE.DK – kan deles ved aktivt link til denne artikel.

Cybersikkerhed & Nyheder