Участники угроз, стоящие за ClearFake, SocGholish и десятками других участников, установили партнерские отношения с другой организацией, известной как VexTrio, в рамках масштабной "партнерской программы для преступников", свидетельствуют новые данные Infoblox.
Последняя разработка демонстрирует "широту их деятельности и глубину их связей в индустрии киберпреступности", заявила компания, назвав VexTrio "крупнейшим брокером вредоносного трафика, описанным в литературе по безопасности".
VexTrio, который, как полагают, активен по крайней мере с 2017 года, был отнесен к вредоносным кампаниям, использующим домены, сгенерированные с помощью алгоритма генерации доменов по словарю (DDGA), для распространения мошеннических программ, опасных программ-шпионов, рекламного ПО, потенциально нежелательных программ (PUP) и порнографического контента.
Сюда также входит группа действий 2022 года, которая распространила вредоносное ПО Glupteba после предыдущей попытки Google отключить значительную часть своей инфраструктуры в декабре 2021 года.
В августе 2023 года группа организовала широкомасштабную атаку с участием скомпрометированных веб-сайтов WordPress, которые условно перенаправляют посетителей на промежуточные домены command-and-control (C2) и DDGA.
Значительными случаи заражения сделал тот факт, что субъект угрозы использовал протокол системы доменных имен (DNS) для получения URL-адресов перенаправления, эффективно действуя как система распределения трафика (или доставки, или направления) на основе DNS (TDS).
По оценкам, VexTrio управляет сетью из более чем 70 000 известных доменов, обеспечивая передачу трафика для более чем 60 аффилированных лиц, включая ClearFake, SocGholish и TikTok Refresh.
"VexTrio управляет своей партнерской программой уникальным способом, предоставляя небольшое количество выделенных серверов каждому партнеру", - говорится в подробном отчете Infoblox, опубликованном в Hacker News. "Партнерские отношения VexTrio, похоже, давние".
Мало того, что в цепочку атак могут входить несколько участников, VexTrio также контролирует несколько сетей TDS, перенаправляя посетителей сайта к нелегальному контенту на основе атрибутов их профиля (например, геолокации, файлов cookie браузера и языковых настроек браузера), чтобы максимизировать прибыль, отфильтровывая остальное.
Эти атаки используют инфраструктуру, принадлежащую разным сторонам, в которой участвующие партнеры перенаправляют трафик, исходящий из их собственных ресурсов (например, скомпрометированных веб-сайтов), на серверы TDS, контролируемые VexTrio. На следующем этапе этот трафик передается на другие мошеннические сайты или партнерские сети злоумышленников.
"Сеть VexTrio использует TDS для потребления веб-трафика от других киберпреступников, а также продажи этого трафика своим собственным клиентам", - сказали исследователи. "TDS от VexTrio - это большой и сложный кластерный сервер, который использует десятки тысяч доменов для управления всем проходящим через него сетевым трафиком".
TDS, управляемый VexTrio, выпускается в двух вариантах: один основан на HTTP, который обрабатывает URL-запросы с различными параметрами, а другой основан на DNS, последний из которых впервые начал использоваться в июле 2023 года.
На данном этапе стоит отметить, что, хотя SocGholish (он же FakeUpdates) является филиалом VexTrio, он также управляет другими серверами TDS, такими как Keitaro и Parrot TDS, причем последний действует как механизм перенаправления веб-трафика на инфраструктуру SocGholish.
По данным 42-го подразделения Palo Alto Networks, Parrot TDS активен с октября 2021 года, хотя есть основания полагать, что он мог появиться еще в августе 2019 года.
"Веб-сайты с Parrot TDS содержат вредоносные скрипты, внедренные в существующий код JavaScript, размещенный на сервере", - отметила компания в анализе на прошлой неделе. "Этот внедренный скрипт состоит из двух компонентов: начального целевого скрипта, который профилирует жертву, и скрипта полезной нагрузки, который может направить браузер жертвы к вредоносному местоположению или фрагменту контента".
Внедрению, в свою очередь, способствует использование известных уязвимостей в системах управления контентом (CMS), таких как WordPress и Joomla!
Векторы атак, используемые партнерской сетью VexTrio для сбора трафика жертв, не отличаются тем, что они в первую очередь выделяют веб-сайты, на которых установлена уязвимая версия программного обеспечения WordPress, для вставки вредоносного JavaScript в свои HTML-страницы.
В одном случае, идентифицированном Infobox, было обнаружено, что на взломанный веб-сайт, базирующийся в Южной Африке, был внедрен JavaScript от ClearFake, SocGholish и VexTrio.
Это еще не все. Подозревается, что помимо привлечения веб-трафика к многочисленным киберампаниям, VexTrio также проводит некоторые собственные, зарабатывая деньги, злоупотребляя реферальными программами и получая веб-трафик от партнера, а затем перепродавая этот трафик нижестоящему субъекту угрозы.
"Передовая бизнес-модель VexTrio облегчает партнерские отношения с другими участниками и создает устойчивую экосистему, которую чрезвычайно трудно разрушить", - заключил Infoblox.
"Из-за сложной конструкции и запутанного характера партнерской сети трудно добиться точной классификации и атрибуции. Эта сложность позволила VexTrio процветать, оставаясь безымянной для индустрии безопасности более шести лет. "
