Un gang de cybercriminels que les chercheurs suivent sous le nom de Revolver Rabbit a enregistré plus de 500 000 noms de domaine pour des campagnes de vol d'informations ciblant les systèmes Windows et macOS.
Pour opérer à une telle échelle, l'acteur de la menace s'appuie sur des algorithmes de génération de domaines enregistrés (RDGA), une méthode automatisée qui permet d'enregistrer plusieurs noms de domaine en un instant.
Les RDGA sont similaires aux algorithmes d’enregistrement de domaine (DGA) que les cybercriminels implémentent dans les logiciels malveillants pour créer une liste de destinations potentielles pour la communication de commande et de contrôle (C2).
L’une des différences entre les deux est que les DGA sont intégrés aux souches de logiciels malveillants et que seuls certains des domaines générés sont enregistrés, alors que les RDGA restent avec l’acteur de la menace et tous les domaines sont enregistrés.
Alors que les chercheurs peuvent découvrir les DGA et essayer de les rétroconcevoir pour connaître les domaines C2 potentiels, les RDGA sont secrets et trouver le modèle de génération des domaines à enregistrer devient une tâche plus difficile.
Revolver Rabbit gère plus de 500 000 domaines
Des chercheurs du fournisseur de sécurité axé sur le DNS Infoblox ont découvert que Revolver Rabbit utilisait des RDGA pour acheter des centaines de milliers de domaines, ce qui représente plus d'un million de dollars en frais d'enregistrement.
L'acteur malveillant distribue le malware de vol d'informations XLoader, le successeur de Formbook, avec des variantes pour les systèmes Windows et macOS pour collecter des informations sensibles ou exécuter des fichiers malveillants.
Infoblox affirme que Revolver Rabbit contrôle plus de 500 000 domaines de premier niveau .BOND qui sont utilisés pour créer des serveurs C2 leurres et actifs pour le malware.
Renée Burton, vice-présidente de Threat Intel chez Infoblox, a déclaré à BleepingComputer que les domaines .BOND liés à Revolver Rabbit sont les plus faciles à voir, mais l'acteur de la menace a enregistré plus de 700 000 domaines au fil du temps, sur plusieurs TLD.
Considérant que le prix d’un domaine .BOND est d’environ 2 $, l’« investissement » réalisé par Revolver Rabbit dans son opération XLoader est proche d’un million de dollars, hors achats passés ou domaines sur d’autres TLD.
« Le modèle RDGA le plus courant utilisé par cet acteur est une série d'un ou plusieurs mots du dictionnaire suivis d'un nombre à cinq chiffres, chaque mot ou nombre étant séparé par un tiret. » Infoblox
Les domaines sont généralement faciles à lire, semblent se concentrer sur un sujet ou une région particulière et présentent une grande variété, comme le montrent les exemples ci-dessous :
- usa-online-diplome-29o[.]lier
- climatiseur-portable-bra-9o[.]lier
- croisières fluviales au royaume-uni 8n[.]lier
- ai-courses-17621[.]lier
- formation-developpement-de-logiciels-d'applications-52686[.]lier
- résidence-services-11607[.]lier
- emplois-en-ligne-42681[.]lier
- parfums-76753[.]lier
- caméras de surveillance et de sécurité 42345[.]lier
- cours-de-yoga-35904[.]lier
Les chercheurs affirment que « le fait de connecter le RDGA Revolver Rabbit à un malware établi après des mois de suivi souligne l'importance de comprendre les RDGA en tant que technique dans la boîte à outils de l'acteur de la menace ».
Infoblox suit Revolver Rabbit depuis près d'un an, mais l'utilisation de RDGA a masqué l'objectif de l'acteur de la menace jusqu'à récemment.
Des campagnes de cet adversaire ont été observées dans le passé, mais sans établir de lien avec une opération aussi vaste que celle découverte par Infoblox.
Par exemple, l’outil d’analyse des logiciels malveillants de la société de réponse aux incidents Security Joes fournit détails techniques sur un échantillon d'infostealer Formbook qui a plus de 60 serveurs C2 leurres, mais un seul domaine dans le TLD .BOND est le vrai.
De nombreux acteurs de la menace utilisent les RDGA pour des opérations malveillantes allant de la diffusion de logiciels malveillants et du phishing aux campagnes de spam et aux escroqueries, et pour acheminer le trafic vers des emplacements malveillants via des systèmes de distribution du trafic (TDS).