安全研究人员追踪的网络犯罪团伙 Revolver Rabbit 已注册了超过 50 万个域名，用于针对 Windows 和 macOS 系统的信息窃取活动。为了进行如此大规模的攻击，威胁者依赖于注册域生成算法 (RDGA)，这是一种允许在瞬间注册多个域名的自动化方法。

RDGA 类似于网络犯罪分子在恶意软件中实施的域名注册算法 (DGA)，用于创建命令和控制 (C2) 通信的潜在目的地列表。

两者之间的一个区别是，DGA 嵌入在恶意软件中，并且只有部分生成的域被注册，而 RDGA 仍保留在威胁行为者手中，并且所有域都已注册。

虽然安全研究人员发现 DGA 并尝试对其进行逆向工程以了解潜在的 C2 域，但 RDGA 是秘密的，找到生成要注册的域的模式变得更加具有挑战性。

Revolver Rabbit 运营着超过 500,000 个域名

专注于 DNS 的安全供应商 Infoblox 的研究人员发现，Revolver Rabbit 一直在使用 RDGA 购买数十万个域名，注册费总计超过 100 万美元。

威胁者正在传播 XLoader 信息窃取恶意软件（Formbook 的后继者），其适用于 Windows 和 macOS 系统的变种用于收集敏感信息或执行恶意文件。

Infoblox 表示，Revolver Rabbit 控制着超过 500,000 个 .BOND 顶级域名，这些域名用于为恶意软件创建诱饵和实时 C2 服务器。

Infoblox 威胁情报副总裁告诉媒体，与 Revolver Rabbit 相关的 .BOND 域名最容易发现，但威胁者随着时间的推移已经在多个 TLD 上注册了超过 700,000 个域名。

考虑到 .BOND 域名的价格约为 2 美元，Revolver Rabbit 在其 XLoader 操作中的“投资”接近 100 万美元，不包括过去购买的域名或其他 TLD 上的域名。

Infoblox 表示：“该攻击者使用的最常见的 RDGA 模式是一系列由一个或多个字典单词和五位数字组成的序列，每个单词或数字之间用破折号分隔。”

这些域名通常易于阅读，似乎专注于特定主题或地区，并显示出多样性，如以下示例所示：

·usa-online-degree-29o[.]bond

·bra-portable-air-conditioner-9o[.]bond

·uk-river-cruises-8n[.]bond

·ai-courses-17621[.]bond

·app-software-development-training-52686[.]bond

·assisted-living-11607[.]bond

·online-jobs-42681[.]bond

·perfumes-76753[.]bond

·security-surveillance-cameras-42345[.]bond

·yoga-classes-35904[.]bond

研究人员表示：经过数月的追踪，将 Revolver Rabbit RDGA 与已建立的恶意软件联系起来，凸显了了解 RDGA 作为威胁者工具箱中的一种技术的重要性。

Infoblox 已跟踪 Revolver Rabbit 近一年，但直到最近，RDGA 的使用才掩盖了威胁者的目标。过去曾观察到该对手的攻击活动，但并未将其与 Infoblox 发现的规模如此之大的行动联系起来。

例如，事件响应公司 Security Joes 的恶意软件分析工具提供了有关 Formbook 信息窃取程序样本的技术细节，该样本拥有 60 多个诱饵 C2 服务器，但 .BOND TLD 中只有一个域是真实的。

多个威胁者正在使用 RDGA 进行恶意操作，包括恶意软件传送和网络钓鱼、垃圾邮件活动和诈骗，以及通过流量分配系统 (TDS) 将流量路由到恶意位置。

参考及来源：https://www.bleepingcomputer.com/news/security/revolver-rabbit-gang-registers-500-000-domains-for-malware-campaigns/