VexTrio TDS: เบื้องลึกของเครือข่ายอาชญากรรมไซเบอร์กว่า 70,000 โดเมน

Traffic distribution system (TDS) ที่ไม่เคยถูกเปิดเผยมาก่อนชื่อว่า "VexTrio" ซึ่งได้ดำเนินการมาตั้งแต่ปี 2017 เป็นอย่างน้อย โดยสนับสนุนการโจมตีทางไซเบอร์ของกลุ่มอาชญากรไซเบอร์กว่า 60 กลุ่ม ผ่านเครือข่ายเว็บไซต์ขนาดใหญ่ที่ครอบคลุมกว่า 70,000 เว็บไซต์

Traffic Distribution Systems (TDS) คือ บริการที่ทำหน้าที่รับ traffic เข้ามา แล้วทำการส่งต่อผู้ใช้งานไปยังเว็บไซต์อื่นอีกที โดยเลือกปลายทางตามเกณฑ์ต่าง ๆ ของผู้เข้าชมเว็บไซต์ เช่น ระบบปฏิบัติการ, ที่อยู่ IP, อุปกรณ์, ภูมิภาค และอื่น ๆ

TDS นั้นถูกใช้อย่างแพร่หลายในวงการตลาดออนไลน์ เพื่อวัตถุประสงค์ที่ถูกต้องตามกฎหมาย เช่น การติดตามผลการคลิกโฆษณา อย่างไรก็ตามในโลกของอาชญากรรมไซเบอร์ มักจะถูกนำไปใช้เพื่อแอบนำทางผู้ใช้งานที่ไม่ระมัดระวังไปยังเว็บไซต์อันตรายต่าง ๆ เช่น เว็บไซต์ฟิชชิ่ง, exploit kits และเว็บไซต์ที่มีการฝังมัลแวร์

ตัวอย่างหนึ่งของระบบ TDS ขนาดใหญ่คือ Parrot TDS ซึ่งเพิ่งได้รับการเปิดเผยผ่านรายงานของ Unit 42 โดยรายงานชี้ให้เห็นว่าระบบนี้ยังคงทำงาน และมีการพัฒนาอย่างต่อเนื่อง

รายงานใหม่จาก Infoblox เผยให้เห็นการทำงานของระบบ TDS ขนาดใหญ่ ที่ใช้ชื่อว่า VexTrio ซึ่งร่วมมือกับแคมเปญ และอาชญากรไซเบอร์ชื่อดัง เช่น ClearFake และ SocGholish เป็นต้น

ถูกใช้เป็นเครื่องมือของอาชญากรรมไซเบอร์ตั้งแต่ปี 2017

Infoblox ได้ระบุว่า VexTrio เป็นองค์กรที่มีอิทธิพลอย่างมากในโลกของอาชญากรรมไซเบอร์ โดยควบคุมเครือข่ายขนาดใหญ่ที่ทำหน้าที่สำคัญในการกระจายเนื้อหาอันตราย

VexTrio ควบคุมเว็บไซต์ที่ถูกโจมตีมากกว่า 70,000 เว็บไซต์ ซึ่งแสดงถึงเครือข่ายที่กว้างขวางของพวกเขา ทำให้แพลตฟอร์มนี้สามารถกระจายเนื้อหาอันตรายไปยังผู้เยี่ยมชมเว็บไซต์ และบริการต่าง ๆ ได้มากมาย

โดยปกติ เว็บไซต์จะถูกแฮ็กเพื่อ inject สคริปต์การเปลี่ยนเส้นทางที่เป็นอันตรายลงในโค้ด HTML ของเว็บไซต์ที่มีช่องโหว่ ซึ่งในบางกรณีผู้โจมตีจะสร้างเว็บไซต์ของตนเอง และใช้กลยุทธ์ SEO แบบ Blackhat เพื่อสร้าง traffic

แพลตฟอร์มทำหน้าที่เป็นตัวกลางในการแลกเปลี่ยน traffic ระหว่างคู่ค้าต่าง ๆ ในโลกอาชญากรรมไซเบอร์เพื่อรับเงินจากกลุ่มอาชญากร เว็บไซต์ที่อยู่ภายใต้การควบคุมของแพลตฟอร์มนี้จะถูกเปลี่ยนเส้นทางผู้เยี่ยมชมไปยังที่หมายปลายทางที่เป็นอันตรายของลูกค้า

VexTrio ขยายเครือข่ายของตัวเองออกไปอีก โดยการร่วมมือกับหน่วยงานอย่างน้อย 60 แห่ง หรือที่เรียกว่าพันธมิตร พวกเขาเหล่านี้จะคอยส่งผู้เข้าชมจากแหล่งต่าง ๆ เช่น เว็บไซต์ที่ถูกโจมตี ไปยังเซิร์ฟเวอร์ TDS ของ VexTrio

Infoblox แสดงให้เห็นถึงความร่วมมือที่มีความยั่งยืนไม่ใช่แค่ชั่วครั้งชั่วคราว โดยพบเห็นกรณีที่ยาวนานถึง 4 ปี ซึ่งแสดงถึงระดับความไว้วางใจ และผลประโยชน์ร่วมกัน

หนึ่งในพันธมิตรของ VexTrio คือ ClearFake แคมเปญมัลแวร์ที่แสดงการแจ้งเตือนบนเว็บไซต์ที่ถูกโจมตี เพื่อบอกให้ผู้เข้าชมติดตั้งการอัปเดตเบราว์เซอร์ปลอม ซึ่งจะติดตั้งมัลแวร์ลงในอุปกรณ์

แม้ว่า ClearFake เป็นพันธมิตรของ VexTrio เป็นเวลา 5 เดือน แต่แทนที่จะส่งผู้เข้าชมโดยตรงไปยังเซิร์ฟเวอร์ TDS ของแพลตฟอร์ม พวกเขากลับใช้บริการ Keitaro เป็นจุดเชื่อมต่อระหว่างการเปลี่ยนเส้นทางที่จะกลายเป็นจุดปลายทางของพวกเขา

แคมเปญมัลแวร์ SocGholish ได้ร่วมมือกับ VexTrio มาตั้งแต่เดือนเมษายน 2022 เป็นอย่างน้อย ตามข้อมูลของ Infoblox และยังใช้บริการ Keitaro TDS เป็นจุดตั้งต้นในการเปลี่ยนเส้นทาง ในอดีต SocGholish เคยถูกกลุ่ม Ransomware ใช้ในการเข้าถึงเครือข่ายองค์กรของเหยื่อในขั้นต้น

ความหลากหลาย และความซับซ้อนของ attack chains ที่เกี่ยวข้องกับเหล่าผู้โจมตีหลายคน ทำให้การทำงานของ VexTrio ยากต่อการติดตาม ตรวจจับ และป้องกัน

แหล่งรายได้ที่หลากหลาย

นอกจากนี้ นักวิเคราะห์พบว่า VexTrio และพันธมิตรของพวกเขา มักจะใช้โปรแกรมแนะนำของแพลตฟอร์มที่ถูกกฎหมาย เพื่อสร้างรายได้ด้วยการเปลี่ยนเส้นทางเหยื่อไปยังเว็บไซต์ที่น่าเชื่อถือผ่านลิงก์พันธมิตร

ด้วยการผสานการทำงานของพวกเขาเข้ากับบริการที่ถูกกฎหมาย VexTrio และพันธมิตรของพวกเขา ทำให้ทั้งผู้ใช้งาน และระบบความปลอดภัยตรวจจับกิจกรรมอันตรายของพวกเขาได้ยากขึ้น

รายงานของ Infoblox เผยแคมเปญ VexTrio ที่แยบยลชื่อ 'robot CAPTCHA' ซึ่งกลุ่มนี้ใช้ในการสร้างรายได้ผ่านระบบ referral

ในแคมเปญนี้ ผู้ใช้ที่เข้าชมเว็บไซต์ที่ถูกโจมตีจะถูกเปลี่ยนเส้นทางไปยังสิ่งที่ดูเหมือนการทดสอบ CAPTCHA จริง ซึ่งหลอกให้ผู้ใช้คลิกปุ่ม 'อนุญาต' โดยไม่ได้ตั้งใจ ทำให้เว็บไซต์ได้รับอนุญาตให้ส่งการแจ้งเตือนผ่านบราวเซอร์ของผู้ใช้ได้โดยอัตโนมัติ

จากนั้นเซิร์ฟเวอร์ของ VexTrio สามารถส่งการแจ้งเตือนปลอมไปยังเหยื่อได้ตลอดเวลา โดยปลอมแปลงเป็นคำเตือนของระบบ การแจ้งเตือน AV และการแจ้งเตือนอื่น ๆ ที่ดูน่าเชื่อถือ VexTrio ยังช่วยให้มั่นใจได้ว่าการแจ้งเตือนเหล่านั้นเป็นภาษาที่ถูกต้องโดยใช้โมดูล JS เพื่อปรับภาษาแบบไดนามิกตามข้อมูลเบราว์เซอร์ของผู้ใช้

การคลิกบนการแจ้งเตือนที่หลอกลวงเหล่านี้อาจนำไปสู่หน้าปลายทางที่สร้างรายได้จากการอ้างอิงให้กับ VexTrio

เมื่อพิจารณาความซับซ้อน ความยืดหยุ่น และความหลากหลายของช่องทางสร้างรายได้ และ attack chains ของ VexTrio จึงเป็นเรื่องยากมากที่จะจัดการได้

Infoblox แนะนำให้ผู้ใช้ลดความเสี่ยงโดยจำกัดการท่องเว็บเฉพาะเว็บไซต์ที่ได้รับรองความปลอดภัยด้วย SSL เท่านั้น, บล็อคการแจ้งเตือนแบบ Push บนเบราว์เซอร์ และใช้เครื่องมือบล็อคโฆษณา เพื่อป้องกันการโหลดโฆษณาแบบป๊อปอัพ

ที่มา : bleepingcomputer.com