Geng penjahat dunia maya yang dilacak peneliti sebagai Revolver Rabbit telah mendaftarkan lebih dari 500.000 nama domain untuk kampanye pencuri info yang menargetkan sistem Windows dan macOS.
Untuk beroperasi pada skala seperti itu, pelaku ancaman mengandalkan algoritma pembuatan domain terdaftar (RDGA (Rencana Aksi Ganda)), metode otomatis yang memungkinkan pendaftaran beberapa nama domain dalam sekejap.
RDGA mirip dengan algoritma registrasi domain (DGA) yang diterapkan penjahat dunia maya dalam malware untuk membuat daftar tujuan potensial untuk komunikasi perintah dan kontrol (C2).
Satu perbedaan di antara keduanya adalah bahwa DGA tertanam dalam jenis malware dan hanya beberapa domain yang dihasilkan yang terdaftar, sedangkan RDGA tetap berada pada pelaku ancaman dan semua domain terdaftar.
Sementara para peneliti dapat menemukan DGA dan mencoba merekayasa ulang mereka untuk mempelajari potensi domain C2, RDGA bersifat rahasia, dan menemukan pola untuk menghasilkan domain yang akan didaftarkan menjadi tugas yang lebih menantang.
Revolver Rabbit menjalankan lebih dari 500.000 domain
Peneliti di vendor keamanan yang berfokus pada DNS, Infoblox, menemukan bahwa Revolver Rabbit telah menggunakan RDGA untuk membeli ratusan ribu domain, yang jumlahnya lebih dari $1 juta dalam biaya pendaftaran.
Aktor ancaman mendistribusikan malware pencuri informasi XLoader, penerus Formbookdengan varian untuk sistem Windows dan macOS untuk mengumpulkan informasi sensitif atau mengeksekusi file berbahaya.
Infoblox mengatakan bahwa Revolver Rabbit mengendalikan lebih dari 500.000 domain tingkat atas .BOND yang digunakan untuk membuat server C2 umpan dan aktif untuk malware.
Renée Burton, VP Threat Intel di Infoblox, mengatakan kepada BleepingComputer bahwa domain .BOND yang terkait dengan Revolver Rabbit adalah yang paling mudah dilihat tetapi pelaku ancaman telah mendaftarkan lebih dari 700.000 domain dari waktu ke waktu, di beberapa TLD.
Mengingat harga domain .BOND sekitar $2, “investasi” yang dilakukan Revolver Rabbit dalam operasi XLoader mereka mendekati $1 juta, tidak termasuk pembelian sebelumnya atau domain di TLD lain.
“Pola RDGA paling umum yang digunakan aktor ini adalah serangkaian satu atau lebih kata kamus diikuti oleh angka lima digit, dengan setiap kata atau angka dipisahkan oleh tanda hubung,” InfoBlok
Domain-domain tersebut biasanya mudah dibaca, tampak berfokus pada topik atau kawasan tertentu, dan menunjukkan variasi yang luas, seperti yang terlihat pada contoh di bawah ini:
- gelar-online-di-amerika-29o[.]menjalin kedekatan
- bra-pendingin-udara-portabel-9o[.]menjalin kedekatan
- pelayaran-sungai-uk-8n[.]menjalin kedekatan
- ai-kursus-17621[.]menjalin kedekatan
- pelatihan-pengembangan-perangkat-lunak-aplikasi-52686[.]menjalin kedekatan
- panti jompo-11607[.]menjalin kedekatan
- pekerjaan-online-42681[.]menjalin kedekatan
- parfum-76753[.]menjalin kedekatan
- kamera-pengawasan-keamanan-42345[.]menjalin kedekatan
- kelas-yoga-35904[.]menjalin kedekatan
Para peneliti mengatakan bahwa “menghubungkan Revolver Rabbit RDGA ke malware yang sudah ada setelah pelacakan selama berbulan-bulan menyoroti pentingnya memahami RDGA sebagai teknik dalam kotak peralatan pelaku ancaman.”
Infoblox telah melacak Revolver Rabbit selama hampir satu tahun tetapi penggunaan RDGA menyembunyikan tujuan pelaku ancaman hingga saat ini.
Kampanye dari musuh ini telah diamati di masa lalu tetapi tidak membuat hubungan dengan operasi besar seperti yang diungkap Infoblox.
Misalnya, alat analisis malware dari perusahaan respons insiden Security Joes menyediakan detail teknis pada contoh infostealer Formbook yang memiliki lebih dari 60 server C2 umpan tetapi hanya satu domain di TLD .BOND yang merupakan domain asli.
Banyak aktor ancaman menggunakan RDGA untuk operasi jahat yang berkisar dari pengiriman malware dan phishing hingga kampanye spam dan penipuan, serta mengarahkan lalu lintas ke lokasi jahat melalui sistem distribusi lalu lintas (TDS).
