VexTrio与网站恶意软件运营者的关联及DNS威胁分析

本文深入分析了VexTrio恶意流量分发系统与网站恶意软件运营者的关联,揭示了DNS TXT记录在恶意重定向中的作用,以及多个广告技术公司的代码共享和基础设施关联,为网络安全防御提供了重要洞察。

VexTrio与网站恶意软件运营者的关联 - Infoblox威胁情报

执行摘要

最初的一项观察性研究——干扰VexTrio并观察其适应方式——引发了一系列令人惊讶的发现。当他们的流量分发系统(TDS)被破坏时,依赖该系统的多个恶意软件运营者都迁移到了一个"新"的TDS,但这实际上是同一个TDS!原本被认为是一个独立的TDS,但我们发现的证据表明事实并非如此。几个商业TDS被发现与VexTrio共享软件元素,并受益于VexTrio与网站恶意软件运营者长期独家合作关系。最后,很明显,使用恶意广告技术可能是主导恶意软件活动运营者的致命弱点,因为VexTrio联盟可以识别他们。

背景

2024年11月13日,Qurium研究人员揭露瑞士-捷克广告技术公司Los Pollos是VexTrio的一部分,这是已知最大且最古老的恶意TDS。Qurium在发现俄罗斯虚假信息运营者Doppelganger在其操作中使用Los Pollos的"智能链接"后建立了这一联系。几天后,我们与Qurium协调,并向多个安全行业合作伙伴发布了一组域名。我们希望这一组合拳能暂时破坏VexTrio,并通过观察他们的恢复情况来更好地了解他们与网站恶意软件运营者的关系。

我们不必等待太久就得到了回应。11月17日,Los Pollos宣布他们将停止所谓的推送链接货币化;用户被告知这些链接将"很快"停用。但这到底意味着什么?事实证明,几天之内,全球范围内被不同WordPress漏洞利用且表面上由不同恶意软件运营者入侵的网站都以完全相同的方式进行了更新。

DNS TXT记录活动

我们的初步研究始于通过DNS跟踪的特定WordPress恶意软件。

DNS TXT记录设计用于支持在线邮件操作,但长期以来一直被用于其他目的,无论是好是坏。多年来,许多运营者已经为恶意软件编码了"下一阶段"响应,将权威DNS名称服务器变成了基本的C2服务器。利用DNS TXT记录以这种方式将受害者重定向到VexTrio的WordPress恶意软件活动首次由Sucuri在2023年8月报告。

在这些活动中,威胁行为者使用恶意脚本查找包含Base64编码URL的DNS TXT记录。脚本会根据这些响应重定向访问者。几个月后,Sucuri发现行为者转向了服务器端重定向。

我们的分析系统通过DNS跟踪受损网站与C2服务器之间的通信,使我们能够在新的C2服务器和重定向上线时识别它们。我们还利用这些检测来了解C2服务器与重定向之间的历史连接。

C2集群

对超过450万次DNS查询的分析显示,存在两组不同的C2服务器。虽然所有这些服务器在操作变更之前都指向VexTrio,但这两组C2服务器使用不同的托管服务,重定向到不同的域,并利用单独的URL格式。

TDS行为随时间变化

尽管Help TDS似乎凭空出现,但它并不新:它至少自2017年以来就一直存在。虽然这个TDS现在通过Monetizer TDS重定向用户,但我们发现许多过去的实例中,Help TDS重定向到VexTrio。

共同的代码库

一旦我们通过受损网站重定向建立了几个TDS之间的联系,我们就寻找是否可以用更具体的方式将这些TDS联系起来。我们能够通过它们历史上使用的脚本、图像和URL结构来建立Help、Disposable和VexTrio TDS之间的强大关系。

事实证明,Help和Disposable TDS基本上是相同的。自2017年以来的各个时间点:

  • 它们都使用了罕见的抽奖诱饵图像,这些图像似乎专属于一个相对较小的威胁行为者群体,包括VexTrio
  • 它们的服务器都托管了对抽奖诈骗功能至关重要的VexTrio专属JavaScript
  • 它们都使用相同的URL结构和参数名称

TDS资源连接

我们将关系分析扩展到其他与VexTrio显示出不同程度相似性的TDS。TDS运营者在DNS中留下了其公共角色的数字痕迹,我们利用这些信息将几个TDS连接到商业实体,包括News TDS。

这些TDS之间的联系不仅限于受损网站URL中的重定向;它们还共享几个在互联网其他地方找不到的罕见工件。

推送广告的普及

RichAds、BroPush、Partners House、VexTrio的TacoLoco和RexPush专门从事推送广告。广告技术业务的支柱是推送通知服务。在这些公司之间,我们检测到两种用于欺诈性订阅用户通知的技术。

谁是TDS运营者?

将TDS明确连接到广告技术公司或其他行为者是棘手的事情,但我们已经确定了相当多的。

谁是网站黑客?

广告技术公司知道。

全球每年有数十万个受损网站将受害者重定向到VexTrio和VexTrio附属TDS的错综复杂的网络中。不仅仅是去年,而是自2017年以来的每一年,可能早在2015年就开始了。

VexTrio和其他附属广告公司知道恶意软件运营者是谁,或者他们至少有足够的信息来追踪他们。许多公司在需要某种程度"了解你的客户"(KYC)的国家注册,但即使没有这些要求,发布附属机构也会由其客户经理进行审核。

指标

与本文描述的恶意广告附属网络相关的当前和历史指标的选择可在我们的GitHub存储库中找到。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次