Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Взаимосвязь VexTrio и Help TDS: эволюция угроз в кибербезопасности

1
3 мин
В последние месяцы произошёл значительный сбой в работе системы распределения трафика (TDS) VexTrio, что привело к крупным сдвигам в экосистеме вредоносных программ. Этот инцидент не только нарушил работу известных вредоносных семейств, но и выявил тесные связи между несколькими коммерческими TDS, используемыми российскими операторами. Анализ этих событий позволяет глубже понять механизм функционирования вредоносных инфраструктур и актуальные вызовы в сфере кибербезопасности. 17 ноября 2024 года произошёл сбой в работе VexTrio, что вынудило участников вредоносных кампаний, в частности использующих вредоносное ПО DollyWay, перенаправить свою полезную нагрузку на альтернативную систему — Help TDS. Уже к 20 ноября значительная часть заражённых ресурсов начала использовать именно эту инфраструктуру. В результате анализа было установлено, что почти 40% заражённых веб-сайтов перенацеливают трафик через VexTrio с помощью «умных ссылок» Los Pollos, а также применяют записи DNS TXT для обмена д
Оглавление

В последние месяцы произошёл значительный сбой в работе системы распределения трафика (TDS) VexTrio, что привело к крупным сдвигам в экосистеме вредоносных программ. Этот инцидент не только нарушил работу известных вредоносных семейств, но и выявил тесные связи между несколькими коммерческими TDS, используемыми российскими операторами. Анализ этих событий позволяет глубже понять механизм функционирования вредоносных инфраструктур и актуальные вызовы в сфере кибербезопасности.

Суть сбоя и переход на Help TDS

17 ноября 2024 года произошёл сбой в работе VexTrio, что вынудило участников вредоносных кампаний, в частности использующих вредоносное ПО DollyWay, перенаправить свою полезную нагрузку на альтернативную систему — Help TDS. Уже к 20 ноября значительная часть заражённых ресурсов начала использовать именно эту инфраструктуру.

В результате анализа было установлено, что почти 40% заражённых веб-сайтов перенацеливают трафик через VexTrio с помощью «умных ссылок» Los Pollos, а также применяют записи DNS TXT для обмена данными между командами и контроллерами (C2-серверами), работающими в рамках российской инфраструктуры. Обе TDS — VexTrio и Help TDS — связаны исторически и функционально, что демонстрирует сложную сеть взаимодействий между коммерческими рекламными и вредоносными системами.

Технологические особенности и методы маскировки

Интересной особенностью последних кампаний стала смена методов перенаправления с клиентского JavaScript на более скрытый и сложный для обнаружения серверный PHP, что повышает уровень оперативной безопасности атакующих и затрудняет удаление вредоносного кода.

  • Использование DNS TXT-записей для передачи данных между C2-серверами и ботами.
  • Автоматизированные бот-сети, обеспечивающие постоянное повторное включение отключённых вредоносных плагинов.
  • Интеграция с коммерческими рекламными платформами, такими как Partners House и RichAds, для маскировки вредоносной активности.
  • Применение push-уведомлений через Firebase Cloud Messaging для обхода традиционных средств безопасности.

Масштабы заражения и влияние на пользователей

Отчёт компании GoDaddy указывает, что свыше 25 000 веб-сайтов были скомпрометированы с применением данного вредоносного ПО. Это программное обеспечение поддерживает особый уровень постоянства — вредоносные плагины постоянно мониторятся и активируются заново, что существенно усложняет борьбу с ними.

Кроме того, злоумышленники манипулируют механизмами пользовательского согласия, используя привычные рекламные шаблоны, push-уведомления и другие социально-инженерные приёмы для распространения нежелательной рекламы и десинформации. Российские агентства дезинформации, такие как Doppelganger, активно используют эту инфраструктуру для распространения собственных сообщений.

Аналитика инфраструктуры и долгосрочные связи

Анализ более 4,5 миллионов DNS-запросов показал существование по крайней мере двух различных сред C2, обе тесно связанные с VexTrio до замены операционной системы в конце ноября. Исследования фреймворка Help TDS выявили, что он функционирует как минимум с 2017 года, поддерживая связи с известными хакерскими группами. Об этом свидетельствуют общие артефакты, такие как:

  • Уникальные форматы URL.
  • Проприетарные скрипты для навигации пользователей.
  • Редкие изображения-приманки.

Сложная система push-уведомлений на базе сервисов Google, таких как Firebase Cloud Messaging, позволяет злоумышленникам обходить традиционные средства фильтрации, поскольку уведомления поступают с легитимных серверов Google, а не с IP, контролируемых хакерами.

Выводы и рекомендации

Сложная сеть взаимосвязанных TDS, объединённая вокруг VexTrio и Help TDS, подчёркивает:

  • Постоянный характер и адаптивность киберпреступности.
  • Высокую степень интеграции вредоносных программ с коммерческими рекламными и push-сервисами.
  • Необходимость более глубокого анализа DNS-конфигураций и веб-артефактов для своевременного выявления угроз.

Эксперты призывают к усилению механизмов распознавания и нейтрализации подобных вредоносных сетей, что поможет предотвратить дальнейшее распространение атак и минимизировать ущерб для веб-сервисов и конечных пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Взаимосвязь VexTrio и Help TDS: эволюция угроз в кибербезопасности".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.