'VexTrio' TDS: Hoạt động tội phạm mạng lớn nhất trên web?

Một nhà điều hành hệ thống phân phối lưu lượng truy cập (TDS) sở hữu hơn 70,000 tên miền đang tạo điều kiện cho các hành vi lừa đảo, lừa đảo và lây nhiễm phần mềm độc hại trên quy mô chưa từng có.

Nhóm “VexTrio” không được biết đến với các chiến dịch độc hại, mặc dù đôi khi nhóm này cũng dính líu đến tội phạm mạng. Thay vào đó, nó quản lý mạng TDS kết nối các tác nhân đe dọa xâm phạm các trang web dễ bị tấn công với những người lưu trữ nội dung độc hại.

Mặc dù VexTrio không phải là kẻ sẵn sàng bóp cò, nhưng không nên đánh giá thấp khả năng phát tán hành vi sai trái trên Internet của nó. Infoblox, đã công bố một báo cáo chi tiết về nhóm này vào ngày 23 tháng XNUMX, mô tả nhóm này là nhóm có mối đe dọa phổ biến nhất trong tự nhiên, chạm tới hơn một nửa số tổ chức mà nhóm này theo dõi trong hai năm qua.

Renée Burton, người đứng đầu bộ phận tình báo về mối đe dọa tại Infoblox cho biết: “Đây là mối đe dọa lớn nhất, lan rộng nhất, dai dẳng nhất mà chúng tôi gặp phải trong mạng lưới khách hàng của mình”. “Hầu hết mọi loại mạng mà chúng tôi thấy đều sẽ có hoạt động này trong đó.”

VexTrio TDS hoạt động như thế nào

VexTrio vận hành một cụm gồm hơn 70,000 miền luôn thay đổi — một con quái vật chuyển hướng, được sử dụng để hấp thụ lưu lượng truy cập từ các tài nguyên do hơn 60 nhóm liên kết tội phạm mạng của nó kiểm soát.

Khá thường xuyên đây là những trang web WordPress bị xâm nhập. Ví dụ: SocGholish và ClearFake, một vài đối thủ nổi tiếng nhất cùng thời với VexTrio, đã được biết đến với việc tiêm vào các trang web bị lộ mã JavaScript độc hại nhắc nhở người dùng. thông báo cập nhật trình duyệt giả mạo

Các máy chủ TDS của VexTrio nhanh chóng lọc lưu lượng truy cập dựa trên thông tin thu thập được từ cài đặt trình duyệt và dữ liệu được lưu trong bộ nhớ đệm, bao gồm hệ điều hành, vị trí của mục tiêu và các dữ liệu có thể liên quan khác. Nếu nạn nhân khớp với hồ sơ được xác định trước, họ sẽ được chuyển hướng đến nội dung độc hại của một đơn vị liên kết khác (hoặc đôi khi, mạng TDS của chính đơn vị liên kết hoặc nội dung của chính VexTrio). Giống như đầu vào, nội dung đầu ra này chạy nhiều loại: ứng dụng giả mạo, biểu mẫu web lừa đảo và mọi thứ ở giữa.

Sự sắp xếp này cho phép kẻ tấn công xác định và từ chối lưu lượng truy cập từ các nhà nghiên cứu mạng và mạng botnet. Nó hoạt động như một bộ cân bằng tải, ngăn ngừa lãng phí tài nguyên vào các mục tiêu ngoài ý muốn và cung cấp các số liệu mà VexTrio có thể sử dụng để giám sát hiệu suất và phân phối tín dụng cho các đơn vị liên kết. Với mô hình VexTrio, những kẻ tấn công có thể chuyên sâu vào các khía cạnh tội phạm mạng mà chúng làm tốt nhất. Nhưng quan trọng nhất, nó là một công cụ để nhắm mục tiêu vi mô.

Burton giải thích: “Tôi là nạn nhân khi nhấp vào một liên kết, nó có thể đến từ quảng cáo độc hại, có thể là tôi chỉ duyệt ngẫu nhiên một trang web”. “Nếu bạn nghĩ về điều đó, đó cũng chính là lý do khiến các hệ thống phân phối giao thông hợp pháp được sử dụng. Có những nhà môi giới đảm bảo rằng các nhà xuất bản trang web nhận được nhiều tiền nhất có thể từ các nhà quảng cáo, rằng các nhà quảng cáo nhận được nội dung phù hợp nhất. Và thế giới tội phạm về cơ bản cũng đang hoạt động theo cách tương tự.”

Làm thế nào VexTrio lại vô hình và bền bỉ đến vậy

VexTrio sử dụng nhiều thủ thuật để tránh bị phát hiện: thuật toán tạo tên miền từ điển (DDGA) để tự động tạo số lượng lớn tên miền mỗi ngày, chuỗi chuyển hướng TDS nhiều giai đoạn, tên tham số truy vấn URL trùng lặp với các liên kết giới thiệu được sử dụng bởi mạng TDS hợp pháp , và như thế.

VexTrio cũng duy trì một số trang web bị xâm nhập của riêng mình, kết hợp với danh sách các chi nhánh lớn, có nghĩa là hoạt động kinh doanh của họ hầu như không bị ảnh hưởng nếu một số khách hàng bị các nhà bảo vệ mạng hạ gục.

Đáng kể nhất, VexTrio được hưởng lợi từ việc xuất hiện theo hầu hết các cách giống như bất kỳ mạng TDS hợp pháp nào khác. Nó thực hiện tất cả các chức năng kinh doanh thông thường mà các đối tác của nó trong lĩnh vực quảng cáo trực tuyến thực hiện - chỉ có nhóm khách hàng của nó phù hợp với một hồ sơ khác.

Burton than phiền: “Các công ty bảo mật hoặc cơ quan đăng ký rất khó theo đuổi người trung gian vì họ không thực sự lưu trữ nội dung độc hại. Họ chỉ là người giao hàng nên việc thu thập bằng chứng về họ thực sự rất khó khăn. Bạn đang định nói gì? 'Tôi nghĩ tên miền này đang thực hiện chuyển hướng độc hại.' Bây giờ hãy chứng minh điều đó. Họ thực sự không có bất kỳ phần mềm độc hại nào.

Cô giải thích: “Vì vậy, phần giữa - TDS, nhà môi giới đó - những kẻ đó kiên trì hơn, lan tỏa hơn và có cơ sở hạ tầng ổn định hơn so với các trang web bị xâm nhập ở bên trái hoặc các trang web độc hại ở bên phải của họ”.

Để cuối cùng đưa cuộc chiến đến với người trung gian, cô nói, “chúng ta có thể cộng tác và chia sẻ nhiều hơn nữa. Chúng tôi luôn khuyến nghị mọi người nên phòng thủ theo chiều sâu. Và hy vọng các nhà đăng ký và cơ quan đăng ký cũng sẽ trở thành người chơi chủ động hơn trong môi trường bảo mật và tìm kiếm các dấu hiệu của TDS độc hại.”

“Phải thừa nhận rằng những ngành đó rất khó khăn,” Burton thừa nhận. “Có rất nhiều quy định liên quan đến quyền tự do trên Internet cản trở điều đó.”

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/threat-intelligence/vextrio-tds-biggest-cybercrime-operation-web