研究者が「Revolver Rabbit」として追跡しているサイバー犯罪集団は、WindowsおよびmacOSシステムを標的とした情報窃盗キャンペーンのために、50万以上のドメイン名を登録している。
このような規模で活動するために、この脅威集団は、一瞬で複数のドメイン名を登録できる自動化手法である登録ドメイン生成アルゴリズム(RDGA)に依存しています。
RDGAは、サイバー犯罪者がマルウェアに実装し、コマンド・アンド・コントロール(C2)通信の潜在的な送信先のリストを作成するドメイン登録アルゴリズム(DGA)に似ています。
両者の違いの1つは、DGAはマルウェアの系統に組み込まれ、生成されたドメインの一部のみが登録されるのに対し、RDGAは脅威行為者の手元に残り、すべてのドメインが登録されることです。
研究者はDGAを発見し、それをリバースエンジニアリングして潜在的なC2ドメインを知ることができますが、RDGAは秘密であるため、登録するドメインを生成するパターンを見つけることがより困難な作業になります。
Revolver Rabbitは50万以上のドメインを実行している。
DNSに特化したセキュリティベンダーInfobloxの研究者は、Revolver RabbitがRDGAを使用して数十万のドメインを購入していることを発見しました。
この脅威者は、機密情報を収集したり、悪意のあるファイルを実行したりするために、Formbookの後継であるXLoader情報窃取マルウェアを、WindowsおよびmacOSシステム用の亜種とともに配布しています。
Infobloxによると、Revolver Rabbitは、マルウェアのおとりサーバーとライブC2サーバーの両方を作成するために使用される50万以上の.BONDトップレベルドメインを制御しているとのことです。
InfobloxのThreat Intel担当バイスプレジデントであるRenée Burtonは、Revolver Rabbitに関連する.BONDドメインが最も目に付きやすいが、脅威行為者は複数のTLDで、時間をかけて70万以上のドメインを登録していると述べています。
.BONDドメインの価格が約2ドルであることを考慮すると、Revolver RabbitがXLoaderの運営に行った「投資」は、過去の購入や他のTLDのドメインを除いて100万ドル近くになる。
「この行為者が使用する最も一般的なRDGAパターンは、1つまたは複数の辞書の単語の後に5桁の数字が続き、各単語または数字がダッシュで区切られているものです」とInfobloxは述べています。
ドメインは一般的に読みやすく、特定のトピックや地域に焦点を当てているように見え、以下の例に見られるように多種多様です:
- usa-online-degree-29o[.]bond
- bra-ポータブル・エアコン-9o[.]bond
- uk-river-cruises-8n[.]bond
- ai-courses-17621[.]bond
- app-software-development-training-52686[.]bond
- assisted-living-11607[.]bond
- online-jobs-42681[.]bond
- perfumes-76753[.]bond
- セキュリティ監視カメラ-42345[.]bond
- yoga-classes-35904[.]bond
研究者らは、「Revolver Rabbit RDGAを数カ月にわたる追跡の末に確立されたマルウェアに接続したことは、RDGAを脅威行為者のツールボックス内のテクニックとして理解することの重要性を浮き彫りにしています」と述べています。
InfobloxはRevolver Rabbitを1年近く追跡してきましたが、RDGAの使用により、最近まで脅威行為者の目的は隠されていました。
この敵対勢力によるキャンペーンは過去にも観測されていましたが、Infobloxが発見したような大規模な作戦との関連はありませんでした。
例えば、インシデントレスポンス企業であるSecurity Joesのマルウェア分析ツールは、Formbook infostealerサンプルの技術的な詳細を提供しています。このサンプルには60以上のおとりC2サーバーがありますが、.BOND TLDの1つのドメインだけが本物です。
複数の脅威アクターが、マルウェアの配信やフィッシングからスパムキャンペーン、詐欺に至る悪質なオペレーションにRDGAを使用し、トラフィック配信システム(TDS)を介して悪意のある場所にトラフィックをルーティングしています。
Comments