Содержание |
История
2024: Выявление кибергруппировки
17 июля 2024 года специалисты Infoblox сообщили о выявлении кибергруппировки Revolver Rabbit, которая зарегистрировала более 500 тыс. доменных имен для кампаний по краже информации. Злоумышленники атакуют системы под управлением Windows и macOS.
Для регистрации огромного количества доменов участники Revolver Rabbit применяют специальный механизм RDGA (Registered Domain Generation Algorithm). Группировка распространяет вредоносное программное обеспечение XLoader, которое является преемником Formbook. Зловред предназначен для сбора конфиденциальной информации или выполнения какого-либо кода.
Расследование показало, что Revolver Rabbit контролирует сотни тысяч доменов верхнего уровня .BOND, которые используются для создания как ложных, так и действующих командных серверов для вредоносного ПО. Учитывая, что цена домена .BOND составляет около $2, «инвестиции», сделанные злоумышленниками в свою инфраструктуру, достигают примерно $1 млн. Типичный шаблон RDGA, используемый этой группировкой, представляет собой одно или несколько слов из словаря, за которыми следует пятизначное число, при этом каждое слово или число разделяются дефисом. Такие имена обычно легко читаются и нередко сфокусированы на определенных темах или регионах. В качестве примеров специалисты приводят следующие домены:Станислав Обухов, Т1 Иннотех: Автоматизация меняет функцию закупок
· usa-online-degree-29o[.]bond;
· bra-portable-air-conditioner-9o[.]bond;
· uk-river-cruises-8n[.]bond;
· ai-courses-17621[.]bond;
· app-software-development-training-52686[.]bond;
· assisted-living-11607[.]bond;
· online-jobs-42681[.]bond;
· perfumes-76753[.]bond;
· security-surveillance-cameras-42345[.]bond;
· yoga-classes-35904[.]bond.
Киберкампании с применением RDGA включают распространение вредоносного ПО, фишинг, мошенничество, спам-рассылки, а также перенаправление трафика на вредоносные ресурсы.[1]