70.000’den fazla alana sahip olan tek bir trafik dağıtım sistemi (TDS) operatörü, dolandırıcılık, kimlik avı ve kötü amaçlı yazılım bulaşmalarını benzeri görülmemiş bir ölçekte kolaylaştırıyor.
“VexTrio” grubu kötü niyetli kampanyalarıyla tanınmıyor, ancak ara sıra siber suçlara da bulaşıyor. Bunun yerine yönetir bir TDS ağı Savunmasız web sitelerini tehlikeye atan tehdit aktörlerini kötü amaçlı içerik barındıranlarla buluşturmak.
Her ne kadar parmağı tetikte olan VexTrio olmasa da, internette suiistimal yayma kapasitesi hafife alınmamalıdır. 23 Ocak’ta grup hakkında ayrıntılı bir rapor yayınlayan Infoblox, grubu, son iki yılda izlediği tüm kuruluşların yarısından fazlasına dokunarak, doğadaki en yaygın tehdit aktörü olarak nitelendiriyor.
Infoblox tehdit istihbaratı başkanı Renée Burton, “Bu, müşteri ağlarımızda sahip olduğumuz en büyük, en yaygın ve en kalıcı tehdittir” diyor. “Gördüğümüz hemen hemen her türlü ağ, içinde bu etkinliğe sahip olacak.”
VexTrio TDS Nasıl Çalışır?
VexTrio, sürekli değişen 70.000’den fazla alan adından oluşan bir kümeyi yönetiyor; bu, 60’tan fazla siber suç ortağı grubu tarafından kontrol edilen kaynaklardan gelen trafiği emmek için kullanılan bir yönlendirme canavarı.
Çoğu zaman bunlar, güvenliği ihlal edilmiş WordPress siteleridir. Örneğin, VexTrio’nun en ünlü çağdaşlarından biri olan SocGholish ve ClearFake, açıkta kalan sitelere, kullanıcıları uyaran kötü amaçlı JavaScript enjekte etmesiyle tanınıyor. sahte tarayıcı güncelleme bildirimleri
VexTrio’nun TDS sunucuları, hedefin işletim sistemi, konumu ve diğer potansiyel olarak ilgili veriler dahil olmak üzere tarayıcı ayarlarından ve önbelleğe alınmış verilerden toplanan bilgilere dayanarak trafiği hızlı bir şekilde filtreler. Kurban önceden tanımlanmış bir profille eşleşirse başka bir bağlı kuruluşun kötü amaçlı içeriğine (veya bazen bağlı kuruluşun kendi TDS ağına veya VexTrio’nun kendi içeriğine) yönlendirilir. Girdi gibi, bu çıktı içeriği de her şeyi yönetiyor: sahte uygulamalar, dolandırıcılık web formları ve ortadaki her şey.
Bu düzenleme, saldırganların siber araştırmacılardan ve botnetlerden gelen trafiği tanımlamasına ve reddetmesine olanak tanır. Bir yük dengeleyici olarak işlev görür, istenmeyen hedeflerde kaynakların israfını önler ve VexTrio’nun performansı izlemek ve bağlı kuruluşlara kredi dağıtmak için kullanabileceği ölçümler sağlar. VexTrio modeliyle saldırganlar siber suçların en iyi yaptıkları alanlarda uzmanlaşabiliyor. Ama en önemlisi, mikro hedefleme için bir araçtır.
Burton, “Ben bir bağlantıya tıklayan bir kurbanım, bu kötü amaçlı reklamlardan gelmiş olabilir, rastgele bir siteye göz atmış olabilirim” diye açıklıyor. “Düşünürseniz, meşru trafik dağıtım sistemlerinin kullanılmasının nedeni de budur. Web sitesi yayıncılarının reklamverenlerden mümkün olan en fazla parayı almasını, reklamverenlerin en uygulanabilir içeriği almasını sağlayan aracılar var. Ve suç dünyası da çalışıyor. aslında aynı şekilde.”
VexTrio Nasıl Bu Kadar Görünmez ve Kalıcı?
VexTrio, tespitten kaçınmak için çok sayıda hile kullanır: her gün dinamik olarak çok sayıda alan adı oluşturmak için bir sözlük alanı oluşturma algoritması (DDGA), çok aşamalı TDS yeniden yönlendirme zincirleri, yasal TDS ağları tarafından kullanılan yönlendirme bağlantılarıyla örtüşen URL sorgu parametre adları , ve benzeri.
VexTrio’nun ayrıca kendisine ait çok sayıda güvenliği ihlal edilmiş web sitesi bulunuyor ve bu, geniş bağlı kuruluş listesiyle birleştiğinde, birkaç müşterinin siber savunucular tarafından ele geçirilmesi durumunda işlerinin neredeyse hiç etkilenmediği anlamına geliyor.
En önemlisi VexTrio, birçok açıdan diğer meşru TDS ağları gibi görünmekten yararlanıyor. Çevrimiçi reklamcılıktaki benzerlerinin yaptığı tüm normal ticari işlevleri yerine getirir; yalnızca müşterileri farklı bir profile uymaktadır.
Burton yakınıyor, “Güvenlik şirketlerinin veya sicil dairelerinin aracının peşine düşmesi çok zor çünkü aslında kötü niyetli içeriği barındırmıyorlar. Onlar sadece teslimatçılar, bu yüzden onlar hakkında kanıt toplamak gerçekten zor. Ne yapacaksın? ‘Bu alan adının kötü niyetli bir yönlendirme yaptığını düşünüyorum.’ Şimdi kanıtlayın, aslında herhangi bir kötü amaçlı yazılıma sahip değiller.
“Yani orta kısım – TDS, komisyoncu – bu adamlar daha ısrarcı, daha yaygın ve sol taraflarındaki tehlikeye atılmış sitelere veya sağ taraflarındaki kötü amaçlı sitelere göre daha istikrarlı bir altyapıya sahipler” diye açıklıyor.
Mücadeleyi nihayet aracıya taşımak için şöyle diyor: “Çok daha fazla işbirliği ve paylaşım yapabiliriz. İnsanların derinlemesine savunmaya sahip olmalarını her zaman tavsiye ederiz. Ayrıca kayıt şirketlerinin ve kayıt otoritelerinin de güvenlik konusunda daha proaktif bir oyuncu haline gelmesini umuyoruz.” ortamı ve kötü amaçlı TDS işaretlerini arayın.”
Burton, “Kuşkusuz bu endüstriler için durum çok zor” diye itiraf ediyor. “İnternette özgürlükle ilgili bunu engelleyen pek çok kural var.”