VexTrio:网络安全史上最大的恶意流量中介

阅读量63559

发布时间 : 2024-01-25 14:54:25

最大的黑客网络六年来一直势头强劲。为什么没有人可以阻止这一切?

Infoblox 最近的研究发现 存在一个大规模的“犯罪从属计划”,涉及知名网络犯罪组织 ClearFake、SocGholish和其他数十个组织。该计划的主要合作伙伴是 VexTrio,它被描述为“网络安全史上最大的恶意流量中介”。

VexTrio 活动大约于 2017 年开始。该组织使用基于字典的域生成算法 ( DDGA ) 来分发诈骗、间谍软件、广告软件、潜在有害程序和色情内容。因此,尽管谷歌在 2021 年 12 月试图消除其基础设施的重要部分 ,但黑客在 2022 年还是成功分发了Glupteba恶意软件。

2023 年 8 月,VexTrio 使用上述 DDGA 算法发起了大规模攻击,并破坏了WordPress网站,将访问者重定向到中间 C2 域。这些感染的一个特点是使用DNS协议来获取重定向 URL,从而允许该组织充当基于 DNS 的流量分配系统 ( DTDS )。

据估计,VexTrio 运营着一个由 70,000 多个域组成的网络,并与大约 60 个附属机构进行交互,其中包括前面提到的 ClearFake 和 SocGholish。Infoblox 的 Renee Burton 表示,联盟招募方式尚不清楚,但据信 VexTrio 可能会在黑暗论坛上宣传其服务。

VexTrio 与附属公司之间的合作计划

VexTrio 网络使用TDS接收和销售网络流量。他们的 TDS 是一个庞大而复杂的服务器集群,管理着数千个域。VexTrio系统有两个版本运行:基于HTTP和基于DNS,后者于2023年7月投入使用。

据Palo Alto Networks 称 ,另一个 TDS 系统 Parrot 自 2021 年 10 月以来一直活跃,尽管它可能早在 2019 年 8 月就已经存在。运行 Parrot TDS 的网站将恶意脚本注入现有JavaScript代码中,使受害者的浏览器能够重定向到欺诈网站。

VexTrio 攻击的主要载体是运行易受攻击的 WordPress 版本的网站,其中HTML代码中嵌入了恶意 JavaScript。Infoblox 强调 VexTrio 是“网络犯罪领域的关键参与者”。

由于联盟网络的复杂结构和相互关联的性质,VexTrio 的准确分类和归属被证明是困难的,这使得它们蓬勃发展了六年多,但仍未得到网络安全行业的认可。

Renee Burton 将 VexTrio 描述为“网络犯罪联盟之王”,并强调“全球消费者网络犯罪之所以猖獗,是因为这些流量经纪人仍未被发现。”

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66