Постачальник послуг керування та безпеки DNS викрив і заблокував VexTrio, складну злочинну партнерську програму. Це підвищує кібербезпеку.
Infoblox зробив ще одне важливе відкриття в боротьбі з кіберзлочинністю: у сьогоднішньому вичерпному дописі в блозі компанія представляє свої висновки про VexTrio, оператора великої злочинної афілійованої мережі. VexTrio протягом багатьох років відіграє центральну роль в обробці трафіку. Незважаючи на те, що VexTrio важко ідентифікувати та відстежити, його блокування безпосередньо порушує різноманітну діяльність кіберзлочинців. Завдяки своєму відкриттю Infoblox допоміг зробити весь кіберпростір безпечнішим.
Infoblox має на меті підвищити обізнаність про загрозу, яку створюють системи розподілу трафіку (TDS), шляхом націлювання на ці структури, і виступає за посилення співпраці в галузі в галузі виявлення, ідентифікації та боротьби зі зловмисними постачальниками TDS.
Як працює партнерська програма VexTrio
🔎 Кримінальна екосистема VexTrio: так працює партнерська програма (Зображення: Infoblox)
Партнерська програма VexTrio працює так само, як авторитетні маркетингові партнерські мережі. Кожна атака зазвичай впливає на інфраструктуру кількох компаній. Партнери VexTrio перенаправляють трафік, що надходить із їхніх власних мереж (наприклад, зламаних веб-сайтів), на сервери TDS, які контролюються VexTrio. Потім VexTrio вибірково передає цей трафік на шкідливі сайти інших учасників або в інші зловмисні афілійовані мережі. Крім того, VexTrio не тільки забезпечує злочинну інфраструктуру для інших, але й сама діє як загрозливий актор, здійснюючи шкідливі кампанії.
Основні висновки вичерпного звіту Infoblox про VexTrio:
- VexTrio має відомих партнерів, таких як ClearFake і SocGholish.
- VexTrio має принаймні 60 партнерів, що робить його найбільшим брокером шкідливого трафіку, описаним у літературі з безпеки.
- VexTrio керує своєю партнерською програмою унікальним способом, надаючи кожному партнеру невелику кількість виділених серверів.
- VexTrio підтримує довгострокові партнерські відносини. Наприклад, SocGholish є партнером VexTrio принаймні з квітня 2022 року.
- Ланцюги атак VexTrio можуть включати кількох учасників. Infoblox раніше міг спостерігати до чотирьох акторів в одній послідовності атаки.
- VexTrio та його партнери зловживають реферальними програмами McAfee та Benaughty.
- VexTrio контролює кілька мереж TDS, які функціонують різними способами. Лише наприкінці грудня Infoblox представив новий TDS на основі DNS.
- Системи створення доменів VexTrio постійно вдосконалюються. Тому покладатися виключно на статичний список слів або доменів верхнього рівня (TLD) на основі історії домену є неефективним. Такого підходу недостатньо для виявлення всіх доменів VexTrio, яких зараз понад 70.000 XNUMX.
- VexTrio зробив значний перехід від виділеного хостингу та серверів імен до спільних провайдерів. З тих пір, як Infoblox вперше відкрив VexTrio, понад 55% доменів VexTrio, які раніше були присвячені виділеній інфраструктурі, перейшли на спільний хостинг.
Про Інфоблок
Infoblox поєднує мережеве керування та безпеку, забезпечуючи виняткову продуктивність та оптимальний захист. Як компанії зі списку Fortune 100, так і нові молоді компанії цінують Infoblox за видимість у реальному часі та контроль над тим, хто та що підключається до їхньої мережі. Це дозволяє компаніям працювати швидше та швидше припиняти загрози.
Статті по темі