Infoblox dévoile le monde caché des RDGA, avec la mascarade à un million de dollars de Revolver Rabbit
juillet 2024 par Infoblox
La Threat Intelligence d’Infoblox publie une étude sur l’utilisation des algorithmes de génération de domaines enregistrés (RDGA) par des acteurs malveillants. Contrairement aux algorithmes de génération de domaines (DGA) habituellement utilisés par les malwares, un RDGA consiste en un enregistrement systématique de tous les domaines générés. Infoblox a été le premier à décrire cette technique en octobre 2023. Avec la technique des RDGA, il est possible de développer rapidement des opérations malveillantes tout en échappant à la détection. Depuis l’introduction de cette terminologie, Infoblox a publié des recherches montrant l’utilisation des RDGA dans les malwares, les raccourcisseurs de liens malveillants (Prolific Puma) et les systèmes de distribution de trafic (VexTrio Viper/SavvySeahorse).
La Threat Intelligence d’Infoblox a développé de nombreux algorithmes pour détecter et suivre les RDGA, y compris une technologie de détection brevetée pour les clusters émergents de domaines RDGA. Grâce à ces détecteurs, Infoblox découvre chaque jour des dizaines de milliers de nouveaux domaines, les regroupant en clusters contrôlés par des acteurs malveillants. La plupart de ces domaines passent étonnamment sous le radar du secteur de la sécurité. Dans sa nouvelle étude sur les menaces liées aux RDGA, Infoblox a constaté que l’utilisation des RDGA a augmenté au cours des dernières années et montre comment les domaines créés par ces RDGA sont utilisés, par exemple, par de nombreux scams et malwares.
L’exemple le plus frappant est un RDGA qu’Infoblox a dénommé Revolver Rabbit. Cet acteur de la menace a enregistré plus de 500 000 domaines, dépassant plus d’un million de dollars de frais d’enregistrement. Pour autant, la découverte de l’objectif visé par ces domaines s’est avérée ardue. La Threat Intelligence d’Infoblox suit Revolver Rabbit depuis près d’un an, mais est restée perplexe pendant des mois sur les motivations de cet acteur malveillant. Comment autant de domaines peuvent-ils être enregistrés sans qu’il y ait la moindre trace d’activité malveillante ? Infoblox a récemment résolu l’énigme : Revolver Rabbit utilise le RDGA pour créer des domaines de commande et de contrôle (C2) et des domaines leurres pour le logiciel malveillant XLoader (alias Formbook). Ce malware est un InfoStealer généralement diffusé par le biais de phishing. L’investissement massif dans les noms de domaine indique que ce logiciel malveillant est très rentable pour Revolver Rabbit. Le fait de relier - après des mois de traque - le RDGA Revolver Rabbit à un malware bien connu souligne l’importance de comprendre les RDGA comme une technique clé dans l’arsenal des acteurs malveillants.
L’étude révèle que les RDGA représentent une menace redoutable et largement sous-estimée. Les acteurs malveillants peuvent souvent étendre leurs opérations de spam, de logiciels malveillants et d’escroquerie sans crainte de détection. De plus, l’automatisation des services d’enregistrement de domaines facilite grandement l’utilisation des RDGA par les cybercriminels. Cette étude vise à sensibiliser et à mettre en lumière la tendance croissante à l’enregistrement de domaines malveillants.