Siber Muhbir

Şirket, en son gelişmenin "faaliyetlerinin genişliğini ve siber suç endüstrisindeki bağlantılarının derinliğini" gösterdiğini söyledi ve VexTrio'yu "güvenlik literatüründe tanımlanan en büyük tek kötü niyetli trafik komisyoncusu" olarak nitelendirdi.

En az 2017'den beri aktif olduğuna inanılan VexTrio, dolandırıcılıkları, riskli yazılımları, casus yazılımları, reklam yazılımlarını, potansiyel olarak istenmeyen programları (PUP'lar) ve pornografik içeriği yaymak için bir sözlük etki alanı oluşturma algoritması (DDGA) tarafından oluşturulan etki alanlarını kullanan kötü amaçlı kampanyalara atfedildi.

Buna, Google'ın Aralık 2021'de altyapısının önemli bir bölümünü çökertmeye yönelik daha önceki bir girişiminin ardından Glupteba kötü amaçlı yazılımını dağıtan bir 2022 etkinlik kümesi de dahildir.

Ağustos 2023'te grup, ziyaretçileri koşullu olarak aracı komuta ve kontrol (C2) ve DDGA alanlarına yönlendiren, güvenliği ihlal edilmiş WordPress web sitelerini içeren yaygın bir saldırı da düzenledi.

Enfeksiyonları önemli kılan şey, tehdit aktörünün yönlendirme URL'lerini almak için Alan Adı Sistemi (DNS) protokolünden yararlanması ve etkin bir şekilde DNS tabanlı bir trafik dağıtım (veya dağıtım veya yönlendirme) sistemi (TDS) olarak hareket etmesiydi.

VexTrio'nun 70,000'den fazla bilinen alan adından oluşan bir ağ işlettiği ve ClearFake, SocGholish ve TikTok Refresh dahil olmak üzere 60 kadar bağlı kuruluş için trafiğe aracılık ettiği tahmin ediliyor.

Infoblox'un tehdit istihbaratı başkanı Renée Burton, The Hacker News'e verdiği demeçte, bağlı kuruluşların şu anda nasıl işe alındığının bilinmediğini, ancak VexTrio aktörlerinin karanlık web forumlarında hizmetlerinin reklamını yaptığından veya en azından diğer siber suçluların onlarla iletişim kurması için bir yolu olabileceğinden şüphelenildiğini söyledi.

Infoblox, yayınla paylaşılan derinlemesine bir raporda, "VexTrio, ortaklık programlarını benzersiz bir şekilde yürütüyor ve her bağlı kuruluşa az sayıda özel sunucu sağlıyor" dedi. "VexTrio'nun bağlı kuruluş ilişkileri uzun süredir devam ediyor gibi görünüyor."

VexTrio, saldırı zincirleri yalnızca birden fazla aktör içermekle kalmaz, aynı zamanda site ziyaretçilerini profil özelliklerine (örneğin, coğrafi konum, tarayıcı çerezleri ve tarayıcı dili ayarları) göre gayri meşru içeriğe yönlendirmek için birden fazla TDS ağını kontrol eder.

Bu saldırılar, katılımcı iştirakçilerin kendi kaynaklarından (örneğin, güvenliği ihlal edilmiş web siteleri) kaynaklanan trafiği VexTrio tarafından kontrol edilen TDS sunucularına ilettiği farklı taraflara ait altyapıyı içerir. Bir sonraki aşamada, bu trafik diğer sahte sitelere veya kötü amaçlı bağlı kuruluş ağlarına iletilir.

Araştırmacılar, "VexTrio'nun ağı, diğer siber suçlulardan gelen web trafiğini tüketmek ve bu trafiği kendi müşterilerine satmak için bir TDS kullanıyor" dedi. "VexTrio'nun TDS'si, içinden geçen tüm ağ trafiğini yönetmek için on binlerce etki alanından yararlanan büyük ve gelişmiş bir küme sunucusudur."

VexTrio tarafından işletilen TDS, biri farklı parametrelerle URL sorgularını işleyen HTTP'ye dayalı, diğeri ise ilk olarak Temmuz 2023'te kullanılmaya başlanan DNS'ye dayalı olmak üzere iki çeşitte gelir.

Bu aşamada, SocGholish (diğer adıyla FakeUpdates) bir VexTrio iştiraki olsa da, Keitaro ve Parrot TDS gibi diğer TDS sunucularını da işlettiğini ve ikincisinin web trafiğini SocGholish altyapısına yönlendirmek için bir mekanizma görevi gördüğünü belirtmekte fayda var.

Burton, "VexTrio'nun Parrot TDS kullandığına dair hiçbir kanıt yok" dedi. "VexTrio, Parrot'tan önemli ölçüde daha eski – bilinen en eski TDS'dir – ve kendi yazılımlarını kullanıyorlar."

"Meşru pazarlama dünyasına benzer şekilde SocGholish gibi VexTrio bağlı kuruluşları, trafiği dağıtmak ve para kazanmak için farklı platformlardan yararlanabilir. Parrot TDS'nin VexTrio TDS'ye gitmesi daha olasıdır, ancak bu trafik akışını analiz etmedik."

Palo Alto Networks Unit 42'ye göre, Parrot TDS Ekim 2021'den beri aktif, ancak Ağustos 2019 gibi erken bir tarihte ortaya çıkmış olabileceğini gösteren yapay kanıtlar var.

Şirket, geçen hafta yaptığı bir analizde, "Parrot TDS'ye sahip web siteleri, sunucuda barındırılan mevcut JavaScript koduna enjekte edilen kötü amaçlı komut dosyalarına sahiptir" dedi. "Bu enjekte edilen komut dosyası iki bileşenden oluşuyor: kurbanın profilini çıkaran bir ilk açılış komut dosyası ve kurbanın tarayıcısını kötü amaçlı bir konuma veya içerik parçasına yönlendirebilen bir yük komut dosyası."

Enjeksiyonlar, sırayla, WordPress ve Joomla!

VexTrio bağlı kuruluş ağı tarafından kurban trafiğini toplamak için benimsenen saldırı vektörleri, HTML sayfalarına hileli JavaScript eklemek için öncelikle WordPress yazılımının savunmasız bir sürümünü çalıştıran web sitelerini seçmeleri bakımından farklı değildir.

Infobox tarafından tespit edilen bir örnekte, Güney Afrika merkezli güvenliği ihlal edilmiş bir web sitesine ClearFake, SocGholish ve VexTrio'dan JavaScript enjekte edildiği tespit edildi.

Hepsi bu değil. VexTrio'nun çok sayıda siber kampanyaya web trafiğine katkıda bulunmasının yanı sıra, yönlendirme programlarını kötüye kullanarak ve bir bağlı kuruluştan web trafiği alarak ve ardından bu trafiği bir alt tehdit aktörüne yeniden satarak para kazandığından şüpheleniliyor.

Infoblox, "VexTrio'nun gelişmiş iş modeli, diğer aktörlerle ortaklıkları kolaylaştırıyor ve yok edilmesi son derece zor olan sürdürülebilir ve esnek bir ekosistem yaratıyor" dedi.

"Bağlı kuruluş ağının karmaşık tasarımı ve karışık doğası nedeniyle, kesin sınıflandırma ve ilişkilendirme elde etmek zordur. Bu karmaşıklık, VexTrio'nun altı yılı aşkın bir süredir güvenlik endüstrisi için isimsiz kalırken gelişmesine izin verdi."

Burton ayrıca VexTrio'yu "siber suç bağlantılarının kralı" olarak nitelendirdi ve "küresel tüketici siber suçları, bu trafik komisyoncuları fark edilmediği için büyüyor. Buna karşılık, DNS'deki VexTrio trafiğini engelleyerek, ne olduğuna ve bilip bilmediğinize bakılmaksızın ilgili tüm suçları engellersiniz.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.