De bedreigingsactoren achter ClearFake, SocGholish en tientallen andere actoren zijn partnerschappen aangegaan met een andere entiteit die bekend staat als VexTrio als onderdeel van een grootschalig ‘crimineel partnerprogramma’, onthullen nieuwe bevindingen van Infoblox.
De nieuwste ontwikkeling demonstreert de “breedte van hun activiteiten en de diepte van hun connecties binnen de cybercriminaliteitsindustrie”, aldus het bedrijf, waarbij VexTrio wordt omschreven als de “grootste kwaadaardige verkeersmakelaar beschreven in de beveiligingsliteratuur.”
VexTrio, waarvan wordt aangenomen dat het al sinds 2017 actief is, wordt toegeschreven aan kwaadaardige campagnes die domeinen gebruiken die zijn gegenereerd door een woordenboekdomeingeneratie-algoritme (DDGA) om oplichting, riskware, spyware, adware en mogelijk ongewenste programma’s (PUP’s) te verspreiden. en pornografische inhoud.
Dit omvat ook een activiteitencluster uit 2022 dat de Glupteba-malware verspreidde na een eerdere poging van Google om een aanzienlijk deel van zijn infrastructuur in december 2021 neer te halen.
In augustus 2023 orkestreerde de groep een wijdverbreide aanval waarbij gecompromitteerde WordPress-websites betrokken waren die bezoekers voorwaardelijk omleiden naar intermediaire command-and-control (C2) en DDGA-domeinen.
Wat de infecties significant maakte, was het feit dat de bedreigingsactoren het Domain Name System (DNS)-protocol gebruikten om de omleidings-URL’s op te halen, en feitelijk fungeerden als een DNS-gebaseerd verkeersdistributie- (of leverings- of richtings-) systeem (TDS).
VexTrio beheert naar schatting een netwerk van meer dan 70.000 bekende domeinen en bemiddelt in het verkeer voor maar liefst 60 aangesloten bedrijven, waaronder ClearFake, SocGholish en TikTok Refresh.
“VexTrio exploiteert hun partnerprogramma op een unieke manier en biedt elke aangesloten partner een klein aantal dedicated servers”, aldus Infoblox in een diepgaand rapport gedeeld met The Hacker News. “De partnerrelaties van VexTrio lijken al lang bestaand.”
Niet alleen kunnen de aanvalsketens meerdere actoren omvatten, VexTrio controleert ook meerdere TDS-netwerken om sitebezoekers naar onwettige inhoud te leiden op basis van hun profielkenmerken (bijv. geolocatie, browsercookies en browsertaalinstellingen) om de winst te maximaliseren, terwijl ze eruit filteren. de rest.
Deze aanvallen maken gebruik van infrastructuur die eigendom is van verschillende partijen, waarbij deelnemende partners verkeer dat afkomstig is van hun eigen bronnen (bijvoorbeeld gecompromitteerde websites) doorsturen naar door VexTrio gecontroleerde TDS-servers. In de volgende fase wordt dit verkeer doorgestuurd naar andere frauduleuze sites of kwaadaardige aangesloten netwerken.
“Het netwerk van VexTrio gebruikt een TDS om webverkeer van andere cybercriminelen te consumeren en dat verkeer aan zijn eigen klanten te verkopen”, aldus de onderzoekers. “VexTrio’s TDS is een grote en geavanceerde clusterserver die tienduizenden domeinen gebruikt om al het netwerkverkeer dat er doorheen gaat te beheren.”
De door VexTrio beheerde TDS is verkrijgbaar in twee varianten: een die is gebaseerd op HTTP die URL-query’s met verschillende parameters afhandelt, en een andere die is gebaseerd op DNS, waarvan de laatste in juli 2023 voor het eerst in gebruik werd genomen.
Het is in dit stadium de moeite waard om op te merken dat hoewel SocGholish (ook bekend als FakeUpdates) een VexTrio-filiaal is, het ook andere TDS-servers beheert, zoals Keitaro en Parrot TDS, waarbij de laatste fungeert als een mechanisme voor het omleiden van webverkeer naar de SocGholish-infrastructuur.
Volgens Palo Alto Networks Unit 42 is Parrot TDS actief sinds oktober 2021, hoewel er aanwijzingen zijn dat dit al in augustus 2019 bestond.
“Op websites met Parrot TDS zijn kwaadaardige scripts geïnjecteerd in de bestaande JavaScript-code die op de server wordt gehost”, merkte het bedrijf vorige week op in een analyse. “Dit geïnjecteerde script bestaat uit twee componenten: een initial landing script dat het slachtoffer profileert, en een payload-script dat de browser van het slachtoffer naar een kwaadaardige locatie of stukje inhoud kan leiden.”
De injecties worden op hun beurt mogelijk gemaakt door het misbruiken van bekende beveiligingsproblemen in contentmanagementsystemen (CMS) zoals WordPress en Joomla!
De aanvalsvectoren die door het VexTrio-partnernetwerk worden gebruikt voor het verzamelen van slachtofferverkeer zijn niet anders, omdat ze voornamelijk websites uitkiezen die een kwetsbare versie van de WordPress-software draaien om frauduleus JavaScript in hun HTML-pagina’s in te voegen.
In één door Infobox geïdentificeerd geval bleek een gecompromitteerde website in Zuid-Afrika te zijn geïnjecteerd met JavaScript van ClearFake, SocGholish en VexTrio.
Dat is niet alles. Naast het bijdragen aan webverkeer aan talrijke cybercampagnes, wordt VexTrio er ook van verdacht een aantal van zijn eigen campagnes uit te voeren, geld te verdienen door verwijzingsprogramma’s te misbruiken en webverkeer te ontvangen van een aangesloten partner en dat verkeer vervolgens door te verkopen aan een downstream-bedreigingsacteur.
“Het geavanceerde bedrijfsmodel van VexTrio vergemakkelijkt partnerschappen met andere actoren en creëert een duurzaam en veerkrachtig ecosysteem dat uiterst moeilijk te vernietigen is”, concludeerde Infoblox.
“Vanwege het complexe ontwerp en de verstrengelde aard van het aangesloten netwerk is nauwkeurige classificatie en attributie moeilijk te realiseren. Deze complexiteit heeft ervoor gezorgd dat VexTrio kon floreren, terwijl het al meer dan zes jaar naamloos bleef voor de beveiligingsindustrie.”
