Хакеры нуждаются в доменных именах, чтобы размещать серверы управления и контроля (C2), распространять вредоносное ПО или осуществлять другие злонамеренные действия. Для автоматизации процесса получения доменных имен они могут использовать алгоритмы генерации доменов (DGA). Однако, чтобы фактически использовать эти домены, им также необходимо зарегистрировать их у регистратора доменных имен.
Одна группа хакеров начала использовать зарегистрированные алгоритмы генерации доменов (RDGA), и, к сожалению, это сработало. Исследователи по кибербезопасности из Infoblox Threat Intel сообщили, что группа хакеров под названием Revolver Rabbit зарегистрировала более 500 000 доменов таким образом, что, вероятно, потребовало инвестиции в миллион долларов.
Хакер использовал RDGA для создания доменов командного и управляющего (C2) и декойных доменов для вредоносного ПО XLoader. XLoader — это мощное вредоносное ПО, который служит для кражи данных, кражи учетных данных и функционирует как удаленный доступ троян. Он представляет собой эволюцию знаменитого вредоносного ПО FormBook, который также был известен своими возможностями кражи информации. XLoader использовался в различных киберпреступных кампаниях, часто направленных как на платформы Windows, так и macOS.
Отчет Infoblox заключил, что RDGA являются «формидабельной и недооцененной» угрозой. Используя новую технику, хакеры могут легко масштабировать свои операции со спамом, вредоносным ПО и мошенничеством, чаще всего оставаясь незамеченными индустрией кибербезопасности. Фактически, Infoblox регулярно обнаруживает «десятки тысяч новых доменов», которые затем попадают в кластеры активов, контролируемые хакерами.
Большинство этих доменов, по словам исследователей, остаются незамеченными для отрасли безопасности. Деятельность Revolver Rabbit шла почти год, и ее не заметили как злонамеренную.
Источник: TechRadar
