Исследователи компании Infoblox выпустили отчет, посвященный новой технике алгоритмов генерации зарегистрированных доменов (RDGA), которую злоумышленники используют для изменения ландшафта DNS-угроз с помощью миллионов новых доменов. В отчете также анализируется деятельность Revolver Rabbit, известного злоумышленника, который использовал RDGA в своем развертывании Xloader.
RDGA отличаются от традиционных алгоритмов генерации доменов (DGA) тем, что алгоритм и процесс регистрации контролируются злоумышленником, что делает их обнаружение более сложным. RDGA используются для различных вредоносных действий, включая вредоносное ПО, фишинг и мошенничество. Они могут принимать различные формы, от кажущихся случайными символов до структурированных словарных слов, что затрудняет их распознавание без масштабных данных DNS и специальных знаний.
Злоумышленники, преступные сообщества и даже легальные компании используют RDGA. Некоторые регистраторы предлагают инструменты для генерации вариантов доменов, которые могут быть использованы злоумышленниками. Термин RDGA был придуман, чтобы отличить их от традиционных DGA, которые генерируют домены алгоритмически, но обычно не регистрируют их.
По оценкам Infoblox, Revolver Rabbit зарегистрировала около 500 000 доменов только в домене верхнего уровня .bond, что делает ее значительным злоумышленником. Шаблон RDGA, используемый Revolver Rabbit, разнообразен, часто в нем используются словарные слова, за которыми следует строка цифр, что усложняет обнаружение. В ходе своего исследования компания Infoblox установила, что домены Revolver Rabbit используются в качестве активных командно-контрольных (C2) и ложных доменов в образцах вредоносного ПО XLoader (FormBook).
Indicators of Compromise
Domains
- 6rnd9mitqt1rz82.top
- 7r7suw52ls00i20.top
- 9w9ohb5vky5p3dz.top
- ai-courses-12139.bond
- ai-courses-13069.bond
- ai-courses-14729.bond
- ai-courses-16651.bond
- ai-courses-17621.bond
- ai-courses2023in.bond
- ai-courses2023-in.bond
- ai-courses2024in.bond
- ai-courses-2024-pe.bond
- ai-courses-2024-pk.bond
- ai-courses-2024sa.bond
- apartments-for-rent-72254.bond
- app-software-development-italy.bond
- app-software-development-training-52686.bond
- app-software-development-training-54449.bond
- app-software-development-training-55554.bond
- app-software-development-training-57549.bond
- app-software-development-training-usa.bond
- area-diploman24.com
- area-diplomans24.com
- area-diploms24.com
- area-diplomy24.com
- areas-diplom.com
- areas-diplom24.com
- areas-diplomy24.com
- arenadiploma.com
- arena-diplomsy24.com
- arena-diplomy24.com
- arriveplanetsnow.buzz
- assisted-living-11607.bond
- bjbntaxmh09r09e.top
- bra-portable-air-conditioner-9o.bond
- castrocountyjail.org
- chopprousite.ru
- coatthinkverb.buzz
- col-travel-insurance-3n.bond
- debtgenepub.live
- dintretonid.com
- dintretrewor.com
- dintrolletone.com
- dintromparsup.com
- direnrolpar.ru
- h87e1mbm0u5f85.xyz
- hadhecrecled.com
- hadrecrolof.ru
- hadsparmirat.com
- hanparolhar.com
- hemophilia-treatment-41433.bond
- killeencityjail.org
- lasalleparishjail.org
- laser-skin-treatment-19799.bond
- miamidadecountyjail.org
- n8j1nau3os4otr.xyz
- northcentralregionaljail.org
- online-degrees-16099.bond
- online-jobs-42681.bond
- patiennerrhe.com
- perfumes-76753.bond
- poemtrainsurprise.top
- pool-repair-35063.bond
- portable-air-conditioner-12322.bond
- qcj4pirltkpqrcu.top
- quarterneighbourforward.xyz
- river-cruises-13890.bond
- rofromandfor.ru
- roofing-services-10175.bond
- rowrorofrat.com
- rsa-roofing-services-8n.bond
- security-surveillance-cameras-42345.bond
- thougolograrly.ru
- tires-book-robust.bond
- travel-insurance-43494.bond
- uk-river-cruises-8n.bond
- usa-online-degree-29o.bond
- welding-machines-10120.bond
- welding-machines-35450.bond
- welding-machines-56397.bond
- welding-machines-76813.bond
- welding-machines-99146.bond
- xnnxr1jquyupjc.xyz
- xqajkr8fbrdryp0.xyz
- xryqcgcb2upb28k.xyz
- yoga-classes-35904.bond
