Araştırmacıların Revolver Rabbit adıyla takip ettiği bir siber suç çetesi, Windows ve macOS sistemlerini hedef alan bilgi çalma kampanyaları için 500.000’den fazla alan adı kaydetti.
Bu ölçekte faaliyet gösterebilmek için tehdit aktörü, anında birden fazla alan adının kaydedilmesine olanak tanıyan otomatik bir yöntem olan kayıtlı alan adı oluşturma algoritmalarına (RDGA) güveniyor.
RDGA’lar, siber suçluların kötü amaçlı yazılımlarda komuta ve kontrol (C2) iletişimi için olası hedeflerin bir listesini oluşturmak amacıyla uyguladıkları alan adı kayıt algoritmalarına (DGA’lar) benzerdir.
İkisi arasındaki farklardan biri, DGA’ların kötü amaçlı yazılım türlerinin içine yerleştirilmesi ve üretilen etki alanlarının yalnızca bir kısmının kaydedilmesi, buna karşın RDGA’ların tehdit aktöründe kalması ve tüm etki alanlarının kaydedilmesidir.
Araştırmacılar DGA’ları keşfedebilir ve potansiyel C2 alanlarını öğrenmek için bunları tersine mühendislik yoluyla elde etmeye çalışabilirken, RDGA’lar gizlidir ve kaydedilecek alanların üretilmesi için bir desen bulmak daha zorlu bir görev haline gelir.
Revolver Rabbit 500.000’den fazla alan adını yönetiyor
DNS odaklı güvenlik sağlayıcısı Infoblox’taki araştırmacılar, Revolver Rabbit’in RDGA’ları kullanarak yüz binlerce alan adı satın aldığını ve bunun da 1 milyon dolardan fazla kayıt ücretine denk geldiğini keşfetti.
Tehdit aktörü, Formbook’un halefi olan XLoader bilgi çalma kötü amaçlı yazılımını, hassas bilgileri toplamak veya kötü amaçlı dosyaları çalıştırmak için Windows ve macOS sistemlerine yönelik varyantlarıyla dağıtıyor.
Infoblox, Revolver Rabbit’in, kötü amaçlı yazılım için hem sahte hem de canlı C2 sunucuları oluşturmak amacıyla kullanılan 500.000’den fazla .BOND üst düzey alan adını kontrol ettiğini söylüyor.
Infoblox’un Tehdit İstihbaratı Başkan Yardımcısı Renée Burton, BleepingComputer’a yaptığı açıklamada, Revolver Rabbit ile ilgili .BOND alan adlarının görülmesinin en kolay olduğunu ancak tehdit grubunun zaman içinde birden fazla üst düzey alanda 700.000’den fazla alan adı kaydettiğini söyledi.
.BOND alan adının fiyatının yaklaşık 2 dolar olduğu düşünüldüğünde, Revolver Rabbit’in XLoader operasyonuna yaptığı “yatırım”, diğer TLD’lerdeki geçmiş satın alımlar veya alan adları hariç, yaklaşık 1 milyon dolardır.
“Bu aktörün kullandığı en yaygın RDGA deseni, her kelime veya sayının bir tire ile ayrıldığı, beş basamaklı bir sayının izlediği bir veya daha fazla sözlük kelimesi dizisidir,” Infoblox
Alan adları genellikle okunması kolaydır, belirli bir konu veya bölgeye odaklanmış gibi görünür ve aşağıdaki örneklerde görüldüğü gibi geniş bir çeşitlilik gösterir:
- usa-online-derece-29o[.]bağlamak
- sutyen-taşınabilir-klima-9o[.]bağlamak
- uk-nehir-gezileri-8n[.]bağlamak
- ai-kurslar-17621[.]bağlamak
- uygulama-yazılım-geliştirme-eğitimi-52686[.]bağlamak
- destekli yaşam-11607[.]bağlamak
- çevrimiçi-işler-42681[.]bağlamak
- parfümler-76753[.]bağlamak
- güvenlik-gözetleme-kameraları-42345[.]bağlamak
- yoga-dersleri-35904[.]bağlamak
Araştırmacılar, “Revolver Rabbit RDGA’yı aylarca süren izlemenin ardından yerleşik bir kötü amaçlı yazılıma bağlamak, RDGA’ları tehdit aktörünün araç kutusundaki bir teknik olarak anlamanın önemini vurguluyor.” diyor.
Infoblox, Revolver Rabbit’i yaklaşık bir yıldır takip ediyordu ancak RDGA’ların kullanımı, tehdit aktörünün amacını yakın zamana kadar gizliyordu.
Bu düşmanın geçmişte de bazı kampanyaları gözlemlenmişti ancak bunların Infoblox’un ortaya çıkardığı kadar büyük bir operasyonla bağlantısı kurulmamıştı.
Örneğin, olay müdahale firması Security Joes’un kötü amaçlı yazılım analiz aracı, 60’tan fazla sahte C2 sunucusuna sahip bir Formbook bilgi hırsızı örneği hakkında teknik ayrıntılar sağlıyor ancak .BOND TLD’sindeki yalnızca bir alan adı gerçek.
Birçok tehdit aktörü, kötü amaçlı yazılım dağıtımından kimlik avına, spam kampanyalarından dolandırıcılığa ve trafik dağıtım sistemleri (TDS’ler) aracılığıyla trafiği kötü amaçlı konumlara yönlendirmeye kadar uzanan kötü amaçlı işlemler için RDGA’ları kullanıyor.
