Een cybercriminele bende, door onderzoekers gevolgd als Revolver Rabbit, heeft meer dan 500.000 domeinnamen geregistreerd voor infostealer-campagnes die gericht zijn op Windows- en macOS-systemen.

Om op zo’n grote schaal te opereren, vertrouwt de dreigingsactor op geregistreerde domeinnaamgeneratie-algoritmen (Registered Domain Generation Algorithms, RDGA’s), een geautomatiseerde methode die het mogelijk maakt om in korte tijd meerdere domeinnamen te registreren.

RDGA’s zijn vergelijkbaar met de domeinnaamgeneratie-algoritmen (Domain Generation Algorithms, DGA’s) die cybercriminelen implementeren in malware om een lijst van potentiële bestemmingen voor command and control (C2) communicatie te creëren.

Een verschil tussen de twee is dat DGA’s zijn ingebed in de malware en slechts enkele van de gegenereerde domeinen worden geregistreerd, terwijl RDGA’s bij de dreigingsactor blijven en alle domeinen worden geregistreerd.

Hoewel onderzoekers DGA’s kunnen ontdekken en proberen deze te reverse engineeren om de potentiële C2-domeinen te achterhalen, blijven RDGA’s geheim en wordt het vinden van het patroon voor het genereren van de te registreren domeinen een meer uitdagende taak.

Revolver Rabbit beheert meer dan 500.000 domeinen

Onderzoekers bij beveiligingsleverancier Infoblox, gespecialiseerd in DNS, ontdekten dat Revolver Rabbit RDGA’s heeft gebruikt om honderden duizenden domeinen te kopen, wat neerkomt op meer dan $1 miljoen aan registratiekosten.

De dreigingsactor verspreidt de XLoader info-stealing malware, de opvolger van Formbook, met varianten voor Windows- en macOS-systemen om gevoelige informatie te verzamelen of schadelijke bestanden uit te voeren.

Infoblox zegt dat Revolver Rabbit meer dan 500.000 .BOND-domeinen beheert, die worden gebruikt om zowel afleidings- als live C2-servers voor de malware op te zetten.

Renée Burton, VP van Threat Intel bij Infoblox, vertelde BleepingComputer dat .BOND-domeinen die verband houden met Revolver Rabbit het gemakkelijkst te zien zijn, maar dat de dreigingsactor in de loop der tijd meer dan 700.000 domeinen op meerdere TLD’s heeft geregistreerd.

Aangezien de prijs van een .BOND-domein ongeveer $2 is, ligt de “investering” die Revolver Rabbit heeft gedaan in hun XLoader-operatie dicht bij $1 miljoen, exclusief eerdere aankopen of domeinen op andere TLD’s.

De domeinen zijn meestal gemakkelijk te lezen, lijken zich te richten op een bepaald onderwerp of regio en vertonen een brede variëteit, zoals te zien in de onderstaande voorbeelden:

• usa-online-degree-29o[.]bond
• bra-portable-air-conditioner-9o[.]bond
• uk-river-cruises-8n[.]bond
• ai-courses-17621[.]bond
• app-software-development-training-52686[.]bond
• assisted-living-11607[.]bond
• online-jobs-42681[.]bond
• perfumes-76753[.]bond
• security-surveillance-cameras-42345[.]bond
• yoga-classes-35904[.]bond

De onderzoekers zeggen dat “het verbinden van de Revolver Rabbit RDGA aan een gevestigde malware na maanden van tracking het belang benadrukt van het begrijpen van RDGA’s als een techniek binnen de toolbox van de dreigingsactor.”

Infoblox volgt Revolver Rabbit al bijna een jaar, maar het gebruik van RDGA’s verhulde het doel van de dreigingsactor tot voor kort.

Campagnes van deze tegenstander zijn in het verleden waargenomen, maar zonder dat er een link werd gelegd met een operatie zo groot als die onthuld door Infoblox.

Het malware-analysetool van incidentbeheerbedrijf Security Joes biedt bijvoorbeeld technische details over een Formbook-infostealer exemplaar dat meer dan 60 afleidings C2-servers heeft, maar slechts één domein in de .BOND TLD is de echte.

Meerdere dreigingsactoren gebruiken RDGA’s voor kwaadwillige operaties die variëren van malwarelevering en phishing tot spamcampagnes, oplichting en het omleiden van verkeer naar schadelijke locaties via verkeersdistributiesystemen (Traffic Distribution Systems, TDS’s).