Categorie
Sicurezza Informatica

Revolver Rabbit: 500.000 domini registrati per campagne malware

Il gruppo di cybercriminali Revolver Rabbit ha registrato oltre 500.000 domini per campagne malware utilizzando algoritmi di generazione di domini registrati (RDGA). Scopri come operano e le implicazioni per la sicurezza informatica.

Annunci

Un gruppo di cybercriminali noto come Revolver Rabbit ha registrato oltre 500.000 domini per campagne di infostealer che prendono di mira sistemi Windows e macOS. Questo gruppo utilizza algoritmi di generazione di domini registrati (RDGA) per automatizzare la registrazione di migliaia di nomi di dominio in un istante.

RDGA: Il Nuovo Capitolo negli Algoritmi di Generazione di Domini

Gli algoritmi di generazione di domini registrati (RDGA) rappresentano una tecnica emergente utilizzata dagli attori delle minacce per trasformare segretamente il panorama delle minacce DNS con milioni di nuovi domini. Questi algoritmi differiscono significativamente dagli algoritmi tradizionali di generazione di domini (DGA) utilizzati in passato. Mentre i DGA generano una lista di potenziali destinazioni per la comunicazione C2, gli RDGA registrano effettivamente tutti i domini generati dall’algoritmo, rendendo più difficile per i ricercatori individuare i modelli di generazione.

Cosa Sono gli RDGA?

Gli RDGA permettono agli attori delle minacce di creare molti nomi di dominio contemporaneamente o nel tempo, registrandoli per uso nella loro infrastruttura criminale. A differenza dei DGA tradizionali, dove solo alcuni domini generati vengono registrati, negli RDGA tutti i domini generati vengono registrati, il che rende più complicato individuare e contrastare queste minacce.

Usi degli RDGA

Gli RDGA possono essere utilizzati per una vasta gamma di scopi, tra cui malware, phishing, spam, truffe, sistemi di distribuzione del traffico (TDS), reti private virtuali (VPN) e altre attività che beneficiano della registrazione di un gran numero di domini.

Attori delle Minacce e RDGA

Un esempio significativo di attore delle minacce che utilizza RDGA è Revolver Rabbit, che ha registrato oltre 500.000 domini nel solo TLD .bond. Questi domini sono utilizzati sia come server C2 attivi che come domini esca per il malware XLoader (noto anche come Formbook).

Vantaggi e svantaggi degli RDGA

Gli RDGA sono più difficili da rilevare rispetto ai DGA tradizionali. Mentre i DGA tradizionali generano domini che possono essere scoperti e bloccati, gli RDGA mantengono segreta l’algoritmo e registrano tutti i domini, rendendo più complicato il lavoro di rilevamento.

Caso di Studio: Hancitor

Hancitor, un malware loader popolare, ha utilizzato un RDGA per generare tutti i suoi domini C2. Sebbene i domini generati sembrino casuali, seguono schemi specifici che possono essere individuati con analisi DNS avanzate.

Evoluzione delle minacce

Per ogni RDGA ben documentato come VexTrio Viper, esistono migliaia di altri RDGA le cui finalità rimangono largamente sconosciute. Questo rende fondamentale l’uso di analisi DNS avanzate per identificare e contrastare queste minacce.

Mitigazione delle minacce RDGA

Le organizzazioni dovrebbero implementare soluzioni di sicurezza che includano il rilevamento automatico degli RDGA. Questo è essenziale poiché gli attori delle minacce possono registrare migliaia di nuovi domini in breve tempo, mentre la ricerca manuale richiede mesi.

L’operazione di Revolver Rabbit

I ricercatori di Infoblox, un’azienda di sicurezza focalizzata sui DNS, hanno scoperto che Revolver Rabbit ha utilizzato RDGA per acquistare centinaia di migliaia di domini, con un investimento di oltre 1 milione di dollari in commissioni di registrazione. Il gruppo distribuisce il malware XLoader, successore di Formbook, che raccoglie informazioni sensibili o esegue file dannosi su sistemi Windows e macOS.

Dettagli dei domini

Revolver Rabbit controlla oltre 500.000 domini di primo livello .BOND, utilizzati per creare sia server C2 decoy che live per il malware. In totale, il gruppo ha registrato più di 700.000 domini su vari TLDs.

Infoblox ha identificato il pattern comune utilizzato da Revolver Rabbit, che prevede una serie di una o più parole del dizionario seguite da un numero a cinque cifre, con ogni parola o numero separati da un trattino. Ecco alcuni esempi:

  • usa-online-degree-29o[.]bond
  • bra-portable-air-conditioner-9o[.]bond
  • uk-river-cruises-8n[.]bond
  • ai-courses-17621[.]bond
  • app-software-development-training-52686[.]bond
  • assisted-living-11607[.]bond
  • online-jobs-42681[.]bond
  • perfumes-76753[.]bond
  • security-surveillance-cameras-42345[.]bond
  • yoga-classes-35904[.]bond

Questi domini sono tipicamente facili da leggere e mostrano una grande varietà, concentrandosi su argomenti specifici o regioni particolari.

Importanza della scoperta

Collegare l’RDGA di Revolver Rabbit a un malware stabilito dopo mesi di monitoraggio sottolinea l’importanza di comprendere gli RDGA come tecnica nel toolbox dei cybercriminali. Infoblox ha monitorato Revolver Rabbit per quasi un anno, ma l’uso degli RDGA ha nascosto l’obiettivo del gruppo fino a tempi recenti.

Esempi di Campagne

Campagne da questo avversario sono state osservate in passato, ma senza fare un collegamento a un’operazione così vasta come quella scoperta da Infoblox. Ad esempio, uno strumento di analisi malware di Security Joes fornisce dettagli tecnici su un campione di Formbook infostealer con più di 60 server C2 decoy, ma solo un dominio nel TLD .BOND è reale. Diversi attori di minacce utilizzano RDGA per operazioni dannose che vanno dalla distribuzione di malware al phishing, spam e reindirizzamento del traffico verso destinazioni dannose tramite sistemi di distribuzione del traffico (TDS).

Annunci

Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Exit mobile version