Araştırmacıların Revolver Tavşan olarak izlediği bir siber suçlu çetesi, Windows ve macOS sistemlerini hedefleyen Infostealer kampanyaları için 500.000'den fazla alan adı kaydetti.
Böyle bir ölçekte çalışmak için, tehdit oyuncusu, anında birden fazla alan adının kaydedilmesine izin veren otomatik bir yöntem olan Kayıtlı Etki Alanı Üretim Algoritmalarına (RDGA'lar) dayanır.
RDGA'lar, siber suçluların kötü amaçlı yazılımlarda uyguladığı alan kayıt algoritmalarına (DGA'lar) benzerdir, komuta ve kontrol (C2) iletişimi için potansiyel hedeflerin bir listesini oluşturmak için.
İkisi arasındaki bir fark, DGA'ların kötü amaçlı yazılım suşlarına gömülmesi ve oluşturulan alanların sadece bir kısmının kaydedilmesi, ancak RDGA'ların tehdit oyuncusu ile birlikte kalması ve tüm alanların kaydedilmesidir.
Araştırmacılar DGA'ları keşfedebilir ve potansiyel C2 alanlarını öğrenmek için bunları tersine çevirmeye çalışırken, RDGA'lar gizlidir ve kayıt yapmak için alanlar oluşturmak için desen bulmak daha zor bir görev haline gelir.
DNS odaklı güvenlik satıcısı Infoblox'taki araştırmacılar, Revolver Rabbit'in RDGA'ları yüz binlerce alan satın almak için kullandığını keşfetti ve bu da kayıt ücreti 1 milyon dolardan fazla.
Tehdit oyuncusu, hassas bilgileri toplamak veya kötü amaçlı dosyalar yürütmek için Windows ve MacOS sistemleri için varyantlarla Formbook'un halefi olan Xloader Info-Destekar kötü amaçlı yazılımlarını dağıtıyor.
Infoblox, Revolver Tavşan'ın, kötü amaçlı yazılım için hem tuzak hem de canlı C2 sunucusu oluşturmak için kullanılan 500.000'den fazla.
Infoblox'taki tehdit başkan yardımcısı Renée Burton, BleepingComputer'a, tabanca tavşanla ilgili .Bond alan adlarının görülmesi en kolay olduğunu, ancak tehdit oyuncusu zaman içinde birden fazla TLD'de 700.000'den fazla alan kaydettiğini söyledi.
Bir .Bond etki alanının fiyatının 2 $ civarında olduğu göz önüne alındığında, Xloader operasyonlarında yapılan “yatırım” tabanca tavşan, diğer TLD'ler üzerindeki geçmiş alımlar veya alanlar hariç 1 milyon dolara yakındır.
“Bu aktörün kullandığı en yaygın RDGA modeli, bir veya daha fazla sözlük kelimesinin bir serisi, ardından her bir kelime veya sayı bir çizgi ile ayrılmış beş basamaklı bir sayıdır,” Infoblox
Etki alanlarının okunması genellikle kolaydır, belirli bir konuya veya bölgeye odaklanmakta ve aşağıdaki örneklerde görüldüğü gibi çok bir çeşitlilik göstermektedir:
Araştırmacılar, “Revolver Tavşan RDGA'yı aylarca süren izlemeden sonra yerleşik bir kötü amaçlı yazılıma bağlamak, RDGA'ları tehdit oyuncusu araç kutusu içinde bir teknik olarak anlamanın önemini vurgulamaktadır” diyor.
Infoblox yaklaşık bir yıldır Revolver Rabbit'i izliyor, ancak RDGA'ların kullanımı tehdit oyuncunun hedefini yakın zamana kadar gizledi.
Bu düşmandan gelen kampanyalar geçmişte gözlemlendi, ancak Infoblox'un ortaya çıkardığı kadar büyük bir operasyonla bağlantı kurmadan.
Örneğin, olay müdahalesi firması güvenlik Joes'in kötü amaçlı yazılım analizi aracı, 60'dan fazla tuzak C2 sunucusuna sahip ancak .Bond TLD'de sadece bir etki alanı olan bir form kitabı Infostealer örneğinde teknik ayrıntılar sağlar.
Birden fazla tehdit aktörleri, kötü amaçlı yazılım sunumu ve kimlik avı ile spam kampanyalarına ve trafiği trafik dağıtım sistemleri (TDSS) aracılığıyla kötü amaçlı yerlere yönlendiren kötü amaçlı işlemler için RDGA'ları kullanıyor.
Infostealer kötü amaçlı yazılım günlükleri, çocuk istismarı web sitesi üyelerini tanımlamak için kullanılan
Yeni açılmayan Hemlock Tehdit Oyuncusu Sistem Sistemleri Kötü Yazılımlarla Sistemler
Sahte Google Chrome hataları sizi kötü niyetli Powershell komut dosyaları çalıştırmaya kandırıyor
Vipersoftx kötü amaçlı yazılım, otomatik komut dosyası kullanarak PowerShell'i çalıştırıyor
Kaynak: Bleeping Computer