Infoblox Threat Intel heeft een onderzoek gepubliceerd naar het gebruik van registered domain generation-algoritmes (RDGAs) door criminele actoren. Een RDGA verschilt van traditionele algoritmes voor domeinnamen (DGA) door het feit dat alle domeinen legitiem zijn geregistreerd. Deze techniek werd voor het eerst in 2023 ontdekt, waarbij bleek dat RDGA’s criminelen helpen om detectie te vermijden en op grotere schaal aanvallen uit te voeren. RDGA’s zijn vervolgens aangetroffen in de aanvalsketen van niet alleen malware, maar ook linkverkorters zoals Prolific Puma en traffic distribution systems zoals VexTrio Viper en Savvy Seahorse.
Met behulp van nieuwe monitoring-algoritmes komt het Infoblox Threat Intel-team dagelijks tienduizenden nieuwe domeinen op het spoor die eerder niet als malafide zijn aangemerkt. Verder onderzoek toont aan dat het gebruik van RDGA’s de afgelopen jaren sterk is gegroeid en voor verschillende doeleinden wordt ingezet, van malware tot fraude.
Revolver Rabbit: een RDGA-actor met diepe zakken
Een van de meest opmerkelijke voorbeelden van RDGA-gebruik is Revolver Rabbit, een actor die meer dan 500.000 domeinen heeft geregistreerd, voor meer dan $1 miljoen aan registratiekosten.
De motivatie achter deze massaregistratie was maandenlang onduidelijk, totdat ontdekt werd dat Revolver Rabbit command-and-control- en namaakdomeinen aanmaakt voor de XLoader-malware (ook bekend als Formbook). Deze malware steelt gegevens en wordt doorgaans via phishingmails verspreid. Gezien de aanzienlijke investering in domeinregistratie moet deze malware nogal winstgevend zijn voor Revolver Rabbit. Het verbinden van de Revolver Rabbit RDGA aan een gevestigde malware na maanden van volgen benadrukt het belang van het begrijpen van RDGA’s als een techniek binnen de toolbox van dreigingsactoren.
Het onderzoek toont aan dat RDGA’s een grote en onderschatte dreiging vormen. Actoren kunnen hun spam-, malware- en fraudecampagnes eenvoudig opschalen, vaak zonder dat ze bang hoeven te zijn dat de securitybranche ze ontdekt. Bovendien maakt de automatisering van domeinregistratiediensten het voor cybercriminelen gemakkelijk om een RDGA te gebruiken. Infoblox wil met dit nieuwe onderzoek dan ook het bewustzijn vergroten over deze groeiende trend in malafide domeinregistraties.
Lees meer over RDGA’s in dit Infoblox blog.