VexTrio：网络安全史上最大的恶意流量中介

最大的黑客网络六年来一直势头强劲。为什么没有人可以阻止这一切？

Infoblox 最近的研究发现 存在一个大规模的“犯罪从属计划”，涉及知名网络犯罪组织 ClearFake、SocGholish和其他数十个组织。该计划的主要合作伙伴是 VexTrio，它被描述为“网络安全史上最大的恶意流量中介”。

VexTrio 活动大约于 2017 年开始。该组织使用基于字典的域生成算法 ( DDGA ) 来分发诈骗、间谍软件、广告软件、潜在有害程序和色情内容。因此，尽管谷歌在 2021 年 12 月试图消除其基础设施的重要部分 ，但黑客在 2022 年还是成功分发了Glupteba恶意软件。

2023 年 8 月，VexTrio 使用上述 DDGA 算法发起了大规模攻击，并破坏了WordPress网站，将访问者重定向到中间 C2 域。这些感染的一个特点是使用DNS协议来获取重定向 URL，从而允许该组织充当基于 DNS 的流量分配系统 ( DTDS )。

据估计，VexTrio 运营着一个由 70,000 多个域组成的网络，并与大约 60 个附属机构进行交互，其中包括前面提到的 ClearFake 和 SocGholish。Infoblox 的 Renee Burton 表示，联盟招募方式尚不清楚，但据信 VexTrio 可能会在黑暗论坛上宣传其服务。

VexTrio 与附属公司之间的合作计划

VexTrio 网络使用TDS接收和销售网络流量。他们的 TDS 是一个庞大而复杂的服务器集群，管理着数千个域。VexTrio系统有两个版本运行：基于HTTP和基于DNS，后者于2023年7月投入使用。

据Palo Alto Networks 称 ，另一个 TDS 系统 Parrot 自 2021 年 10 月以来一直活跃，尽管它可能早在 2019 年 8 月就已经存在。运行 Parrot TDS 的网站将恶意脚本注入现有JavaScript代码中，使受害者的浏览器能够重定向到欺诈网站。

VexTrio 攻击的主要载体是运行易受攻击的 WordPress 版本的网站，其中HTML代码中嵌入了恶意 JavaScript。Infoblox 强调 VexTrio 是“网络犯罪领域的关键参与者”。

由于联盟网络的复杂结构和相互关联的性质，VexTrio 的准确分类和归属被证明是困难的，这使得它们蓬勃发展了六年多，但仍未得到网络安全行业的认可。

Renee Burton 将 VexTrio 描述为“网络犯罪联盟之王”，并强调“全球消费者网络犯罪之所以猖獗，是因为这些流量经纪人仍未被发现。”