Μια κυβερνοεγκληματική ομάδα, με την ονομασία Revolver Rabbit, που παρακολουθούν οι ερευνητές έχει καταχωρίσει περισσότερα από 500.000 domain names για εκστρατείες infostealer (κλοπής πληροφοριών) που στοχεύουν συστήματα Windows και macOS.
Πώς δρα η Revolver Rabbit
Για να λειτουργήσει σε τέτοια κλίμακα, ο απειλητικός παράγοντας βασίζεται σε αλγόριθμους δημιουργίας καταχωρημένων domain (RDGAs), μια αυτοματοποιημένη μέθοδο που επιτρέπει την καταχώρηση πολλαπλών domain names άμεσα.
Οι RDGAs είναι παρόμοιοι με τους αλγόριθμους δημιουργίας domain (DGAs) που εφαρμόζουν οι κυβερνοεγκληματίες σε κακόβουλο λογισμικό για να δημιουργήσουν μια λίστα πιθανών προορισμών για επικοινωνία εντολών και ελέγχου (C2).
Μία διαφορά μεταξύ των δύο είναι ότι οι DGAs είναι ενσωματωμένοι στα κακόβουλα προγράμματα και μόνο μερικά από τα δημιουργημένα domain καταχωρούνται, ενώ οι RDGAs παραμένουν με τον απειλητικό παράγοντα και όλα τα domain καταχωρούνται.
Ενώ οι ερευνητές μπορούν να ανακαλύψουν τους DGAs και να προσπαθήσουν να τους αντιστρέψουν για να μάθουν τα πιθανά C2 domains, οι RDGAs είναι μυστικοί και η εύρεση του μοτίβου για τη δημιουργία των domain που καταχωρούνται γίνεται μια πιο δύσκολη εργασία.
Περισσότερα από 500.000 domains
Οι ερευνητές στην εταιρεία ασφάλειας Infoblox ανακάλυψαν ότι η Revolver Rabbit χρησιμοποιεί RDGAs για να αγοράσει εκατοντάδες χιλιάδες domains, με συνολικό κόστος που ανέρχεται σε περισσότερα από 1 εκατομμύριο δολάρια σε τέλη καταχώρησης.
Ο απειλητικός παράγοντας διανέμει το κακόβουλο λογισμικό XLoader, τον διάδοχο του Formbook, με παραλλαγές για συστήματα Windows και macOS, για να συλλέξει ευαίσθητες πληροφορίες ή να εκτελέσει κακόβουλα αρχεία. Η Infoblox αναφέρει ότι η Revolver Rabbit ελέγχει περισσότερα από 500.000 .BOND top-level domains που χρησιμοποιούνται για τη δημιουργία τόσο decoy όσο και ζωντανών C2 servers για το κακόβουλο λογισμικό.
Η Renée Burton, Αντιπρόεδρος του Threat Intel στο Infoblox, δήλωσε στο BleepingComputer ότι τα .BOND domains που σχετίζονται με τον Revolver Rabbit είναι τα πιο εμφανή, αλλά ο απειλητικός παράγοντας έχει καταχωρίσει περισσότερα από 700.000 domains συνολικά, σε πολλαπλά TLDs.
Λαμβάνοντας υπόψη ότι η τιμή ενός .BOND domain είναι περίπου $2, η «επένδυση» του Revolver Rabbit στην επιχείρηση XLoader είναι κοντά στο $1 εκατομμύριο, χωρίς να υπολογίζονται προηγούμενες αγορές ή domains σε άλλα TLDs. Τα domains είναι συνήθως εύκολα να διαβαστούν, εστιάζουν σε συγκεκριμένο θέμα ή περιοχή και δείχνουν μεγάλη ποικιλία, όπως φαίνεται στα παρακάτω παραδείγματα:
- usa-online-degree-29o[.]bond
- bra-portable-air-conditioner-9o[.]bond
- uk-river-cruises-8n[.]bond
- ai-courses-17621[.]bond
- app-software-development-training-52686[.]bond
- assisted-living-11607[.]bond
- online-jobs-42681[.]bond
- perfumes-76753[.]bond
- security-surveillance-cameras-42345[.]bond
- yoga-classes-35904[.]bond
Ετήσια παρακολούθηση
Η Infoblox παρακολουθεί τη Revolver Rabbit εδώ και σχεδόν ένα χρόνο, αλλά η χρήση των RDGAs απέκρυψε τον στόχο του απειλητικού παράγοντα μέχρι πρόσφατα.
Εκστρατείες από αυτόν τον αντίπαλο έχουν παρατηρηθεί στο παρελθόν, αλλά χωρίς να γίνεται σύνδεση με μια επιχείρηση τόσο μεγάλη όσο αυτή που αποκάλυψε η Infoblox.
Για παράδειγμα, το εργαλείο ανάλυσης κακόβουλου λογισμικού της εταιρείας αντιμετώπισης συμβάντων Security Joes παρέχει τεχνικές λεπτομέρειες για ένα δείγμα του infostealer Formbook που έχει περισσότερους από 60 decoy C2 servers, αλλά μόνο ένα domain στο .BOND TLD είναι το πραγματικό.
Πολλαπλοί απειλητικοί παράγοντες χρησιμοποιούν RDGAs για κακόβουλες επιχειρήσεις που κυμαίνονται από την παράδοση κακόβουλου λογισμικού και phishing έως εκστρατείες spam, απάτες και δρομολόγηση κυκλοφορίας σε κακόβουλες τοποθεσίες μέσω συστημάτων διανομής κυκλοφορίας (TDSs).