Компания Palo Alto Networks обнаружила новую кампанию, при которой злоумышленник использует новые зарегистрированные домены (NRD) и внедряет новый вариант алгоритмов генерации доменов (DGA), чтобы избежать обнаружения. Была использована новая система на основе графового интеллекта, которая анализировала регистрацию доменов и их связь с инфраструктурой хостинга, данными DNS и WHOIS.
Описание
Кампания использовала более 6 000 NRD, перенаправлявших на домены, похожие на DGA-сгенерированные домены. Они использовали словарные DGA, которые создают доменные имена, похожие на легитимные, что усложняет обнаружение. Эти NRD перенаправляли пользователей на URL, ведущие к рекламе потенциально нежелательных приложений для Android. Анализ данных показал, что 96% из них были вредоносными.
Дополнительное расследование выявило, что у этого актора есть 444 898 NRD, которые перенаправляют на 178 доменов с характеристиками словарных DGA. Исследователи обнаружили новый тип DGA, названный typo DGA, который использует опечатки в доменных именах. Этот новый вариант DGA с опечатками предназначен для обхода традиционных методов обнаружения.
Palo Alto Networks предоставляет продукты и услуги, такие как Advanced URL Filtering и Advanced DNS Security, которые помогают определять известные вредоносные домены и URL. Если у вас возникли проблемы или вы считаете, что ваша система была скомпрометирована, вы можете обратиться в группу реагирования на инциденты Unit 42.
Общая информация, полученная от регистратора доменов, показала, что все 6 057 NRD были зарегистрированы одним и тем же субъектом. Инфраструктура вредоносного хостинга, использованная в кампании, также была выявлена, анализ данных показал, что перенаправление на URL-адреса с опечатками DGA осуществлялось с использованием временных меток эпохи. Целевые страницы NRD содержали рекламу и вирусы для Android. Большинство из обнаруженных образцов были вредоносными.
Indicators of Compromise
IPv4
- 91.195.240.123
Domains
- brontalreadyture.pro
- emesispushship.pro
- everybodyform.pro
- fdca5.us
- gratsuccessfic.pro
- mg77bi.us
- ord8w1.us
- pictidentifyive.pro
- sloe2.us
- wnsukh.us
- xwc30.us
- y1ly6n.us
- zgi8ij.us
