#ParsedReport #CompletenessMedium
23-01-2024

Kasseika Ransomware Deploys BYOVD Attacks, Abuses PsExec and Exploits Martini Driver

https://www.trendmicro.com/en_us/research/24/a/kasseika-ransomware-deploys-byovd-attacks-abuses-psexec-and-expl.html

Report completeness: Medium

Actors/Campaigns:
Blackmatter
Darkside

Threats:
Kasseika
Byovd_technique
Akira_ransomware
Blackbyte
Avoslocker
Blackcat
Jadtre
Pincav
Procmon_tool
Themida_tool
Cryptopp_tool

Victims:
Company with unidentified industry

Geo:
Francesca

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1192, T1078, T1021.001, T1059.003, T1490, T1070.001, T1058.001, T1543.003

IOCs:
File: 16
Registry: 1

Soft:
PsExec, ysinternals, ysinternals.co

Algorithms:
chacha20, base64

Win API:
CreateFileW, DeviceIoControl, ZwTerminateProcess, FindWindowA

#ParsedReport #ExtractedSchema

Classified images:
windows: 24, schema: 1, code: 6, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что программа-вымогатель Kasseika получила доступ к исходному коду программы-вымогателя BlackMatter, что позволяет предположить, что ею управляет опытный исполнитель. Программа-вымогатель Kasseika использует целенаправленный фишинг и средства удаленного администрирования для получения первоначального доступа к сетям. Она также использует законный протокол Windows RAT, PsExec, для запуска вредоносных файлов. Программа-вымогатель следует определенной процедуре для обеспечения бесперебойной работы, включая отключение средств защиты, передачу файлов и шифрование файлов с использованием шифрования ChaCha20. Она использует различные методы, такие как запутывание кода, чтобы затруднить анализ и обнаружение. Он также может стереть свои следы, очистив журналы системных событий, что затрудняет обнаружение его действий средствами безопасности.
-----

Программа-вымогатель Kasseika недавно получила доступ к исходному коду программы-вымогателя BlackMatter. Это говорит о том, что программа-вымогатель Kasseika управляется зрелым участником ограниченной группы, который либо приобрел, либо выкупил доступ к исходному коду BlackMatter. Стоит отметить, что BlackMatter изначально пришел из DarkSide и послужил основой для других групп программ-вымогателей.

В расследуемом случае с программой-вымогателем Kasseika для получения первоначального доступа к сети целевой компании использовались методы целевого фишинга. Кроме того, злоумышленники использовали средства удаленного администрирования (RATs) для получения привилегированного доступа и перемещения по сети.

Одной из интересных тактик, используемых программой-вымогателем Kasseika, является злоупотребление законным Windows RAT, называемым PsExec, для выполнения вредоносных файлов. Хотя PsExec был разработан для целей управления сетью, субъекты угроз могут злоупотреблять им для удаленного развертывания вредоносного файла .bat, как это наблюдалось в данном случае.

Чтобы обеспечить бесперебойную работу, программа-вымогатель Kasseika выполняет определенную процедуру. Она запускается с проверки наличия процесса с именем Martini.exe, завершая все найденные экземпляры, чтобы убедиться, что запущен только один экземпляр. Затем он проверяет наличие драйвера Martini.sys, используя уязвимости в нем для отключения средств безопасности. Вредоносная программа создает службу, загружает Martini.sys и сканирует активные процессы с помощью функции DeviceIoControl. Процессы, связанные с системным мониторингом, отслеживанием процессов и инструментами анализа, идентифицируются и завершаются. Файлы переносятся из общего сетевого ресурса в локальный каталог, а процессы, связанные с антивирусом, завершаются. Запускается двоичный файл программы-вымогателя, smartscreen_protected.exe, и выполняется файл clear.bat, чтобы стереть следы операции.

Чтобы затруднить анализ и обнаружение, программа-вымогатель Kasseika упакована с использованием Themida, инструмента, известного своими возможностями запутывания кода и защиты от отладки. Она также завершает процессы и службы, которые обращаются к диспетчеру перезапуска Windows перед шифрованием. Программа-вымогатель изменяет ключи реестра и перечисляет хэши сеансов для процессов и служб. Она удаляет теневые копии с помощью запросов WMIC и расшифровывает свое зашифрованное расширение, используя жестко закодированную строку и кодировку Base64. Алгоритм шифрования ChaCha20 с модифицированной матрицей, зашифрованный RSA, используется Kasseika. Зашифрованные файлы переименовываются, и в каждый каталог добавляется уведомление о выкупе. После шифрования меняются обои системы.

Программа-вымогатель Kasseika также обладает способностью уничтожать свои следы, очищая системные журналы событий с помощью команды wevutil.exe. Этот метод позволяет программе-вымогателю действовать незаметно, затрудняя средствам безопасности обнаружение вредоносных действий и реагирование на них.

#ParsedReport #CompletenessLow
23-01-2024

Blink-and-Update: All About Rhadamanthys Stealer

https://cyberint.com/blog/research/blink-and-update-all-about-rhadamanthys-stealer

Report completeness: Low

Threats:
Rhadamanthys
Lumma_stealer
Stealc
Riseprostealer
White_snake
Supply_chain_technique

Victims:
Users of notepad++, discord, telegram, and crypto wallet owners

TTPs:
Tactics: 7
Technics: 22

Soft:
Discord, Telegram, Google Chrome

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Rhadamanthys - это сложный похититель информации, который активно разрабатывается и распространяется его разработчиками. Он продается как вредоносное ПО как услуга (MaaS) и совместим с различными операционными системами Windows. Rhadamanthys нацелен на извлечение широкого спектра данных из зараженных систем, включая информацию реестра, сведения о компьютере и данные браузера. Он распространяется с помощью кампаний вредоносной рекламы и malspam и может использовать уязвимости в Google Chrome для получения доступа к аккаунтам Google. Как только компьютер жертвы скомпрометирован, Rhadamanthys может украсть пароли, файлы cookie, информацию о сеансах, учетные данные коммуникационной платформы, крипто-кошельки и многое другое.
-----

Rhadamanthys - это похититель информации, который впервые был замечен 22 августа 2022 года. Он написан на C++ и продолжает получать обновления и патчи. В последней версии, 0.5.0, появилась более гибкая платформа, которая позволяет субъектам угроз противодействовать мерам безопасности и использовать уязвимости с помощью целевых плагинов. Одним из таких плагинов является Data Spy, который отслеживает входы в систему по протоколу удаленного рабочего стола (RDP).

Rhadamanthys работает по модели "Вредоносное ПО как услуга" (MaaS), что означает, что оно продается и распространяется его разработчиками. Вредоносное ПО совместимо с Windows XP через Windows 11 и поддерживает архитектуры как X86, так и X64. Разработчики утверждают, что все сетевые коммуникации зашифрованы, причем каждая структура имеет уникальный ключ шифрования.

Основной целью Rhadamanthys является извлечение различных типов данных из зараженных систем. Это включает информацию реестра, сведения о конкретном компьютере и данные браузера. Украденная информация затем используется злоумышленниками для своей вредоносной деятельности.

Stealer продается в специальном Telegram-канале, цены варьируются от 59 до 999 долларов за пожизненную подписку. Это указывает на то, что Rhadamanthys пользуется спросом среди киберпреступников.

Наиболее распространенным способом доставки Rhadamanthys является вредоносная реклама, в частности, через Google Ads. Злоумышленники создают рекламу Google, которая приводит к поддельным страницам загрузки популярных приложений, таких как Notepad++. Эти поддельные страницы загрузки содержат вредоносный загрузчик, ответственный за загрузку и запуск Rhadamanthys на компьютере жертвы. Другой способ доставки включает кампании malspam, когда жертв обманом заставляют подписать PDF-документ, связанный с деловыми вопросами. PDF-документ содержит вредоносный загрузчик, который в конечном итоге запускает Rhadamanthys на компьютере жертвы.

В конце 2023 года появились сообщения о том, что операторы вредоносных программ используют недокументированный API Google Chrome, в частности конечную точку OAuth MultiLogin. Этот метод позволил им генерировать новые файлы cookie для аутентификации в аккаунтах Google. Радамантис, наряду с другими похитителями, такими как Lumma, Stealc, Medusa, RisePro и Whitesnake, изначально использовали эту технику в своих интересах.

Как только компьютер жертвы будет скомпрометирован Rhadamanthys, они могут потерять всю свою личную информацию и другие ценные активы, на получение которых злоумышленники настроили похитителя. Сюда входят сохраненные пароли, файлы cookie и информация о сеансах из различных браузеров. Rhadamanthys также нацелен на учетные данные и сеансовые ключи популярных коммуникационных платформ, таких как Discord и Telegram. Он также может искать файлы на рабочем столе жертвы и делать скриншоты. Кроме того, Rhadamanthys имеет возможность красть криптокошельки, найденные на компьютере жертвы.

#ParsedReport #CompletenessLow
23-01-2024

Info Stealing Packages Hidden in PyPI

https://www.fortinet.com/blog/threat-research/info-stealing-packages-hidden-in-pypi

Report completeness: Low

Threats:
White_snake
Havoc
Kryptik
Clipbanker
W32/agent.orr!tr.pws

Victims:
All platforms where pypi packages can be installed, Over 2000 identified victims

ChatGPT TTPs:
do not use without manual check
T1056, T1022, T1213, T1105, T1115, T1005, T1025, T1003, T1090, T1105, have more...

IOCs:
File: 3
Path: 1
Registry: 1
Coin: 1
IP: 48
Hash: 26

Soft:
PyInstaller, Windows Defender, Chrome, Discord

Wallets:
coinbase

Algorithms:
exhibit, base64, zip

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 8, table: 1, dump: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что платформа PyPI, на которой размещены пакеты, разработанные сообществом Python, стала мишенью злоумышленников, загружающих пакеты, зараженные вредоносным ПО. Эти вредоносные пакеты представляют значительный риск, потенциально приводящий к утечке учетных данных и конфиденциальной информации. Конкретный автор вредоносного ПО, известный как WS, был идентифицирован как один из преступников. Варианты вредоносного ПО используют различные методы для удаления и выполнения вредоносных полезных нагрузок, в частности, нацеленных на пользователей Windows. Возможности вредоносного ПО включают в себя эксфильтрацию конфиденциальной информации, извлечение содержимого буфера обмена и перезапись адресов криптовалют. В тексте подчеркивается важность осторожного использования пакетов с открытым исходным кодом и необходимость проактивной защиты от вредоносных программ, крадущих информацию.
-----

Из текста мы узнаем, что платформа PyPI, на которой размещены программные пакеты, разработанные сообществом Python, стала мишенью злоумышленников, которые загружают пакеты, зараженные вредоносным ПО. Влияние этих вредоносных пакетов значительно, с потенциальной утечкой учетных данных и конфиденциальной информации. Уровень серьезности этой проблемы считается высоким.

Конкретный автор вредоносного ПО, известный как WS, был идентифицирован как один из виновников загрузки этих вредоносных пакетов. Более 2000 жертв были идентифицированы исключительно по описанным пакетам. Методы атаки, используемые в этих пакетах, аналогичны предыдущим вредоносным кампаниям.

Пакеты включают исходный код, закодированный в base64 файлов PE (переносимых исполняемых файлов) или скриптов Python. Как только эти пакеты Python установлены, вредоносная полезная нагрузка удаляется и выполняется. Используются различные полезные нагрузки, нацеленные на устройства Windows и Linux. В последнее время основное внимание уделялось таргетингу на пользователей Windows.

Варианты вредоносного ПО используют различные IP-адреса в качестве адресатов для передачи данных. Их основная цель - извлечь конфиденциальную информацию из систем жертв. Предыдущие полезные программы вредоносного ПО, разработанные с использованием .NET, теперь отображаются в виде исполняемых файлов, скомпилированных на Python, созданных с помощью инструмента PyInstaller.

Примечательной особенностью этих вредоносных пакетов является их способность извлекать содержимое буфера обмена и перезаписывать его предопределенными криптовалютными адресами. Это может обманом заставить жертв отправлять криптовалютные транзакции в непреднамеренные пункты назначения.

Вредоносная программа устанавливает соединения с вредоносным IP-адресом (194.36.177.30), используя socket.io. Если соединение потеряно, вредоносная программа автоматически попытается восстановить соединение. Строки, обнаруженные в коде вредоносной программы, указывают на ее способность перехватывать действия мыши и клавиатуры, а также красть данные кошелька и браузера. Целевые сервисы включают Chrome, Discord, Filezilla и Coinbase.

В заключение в тексте подчеркивается важность соблюдения осторожности при использовании пакетов с открытым исходным кодом с таких платформ, как PyPI. Пользователи должны проявлять бдительность при проверке на наличие вредоносного контента или полезной нагрузки, которые могут сделать их устройства уязвимыми для кражи информации. История этого конкретного автора вредоносного ПО разворачивалась в течение нескольких месяцев, подчеркивая масштабы причиненного ущерба. Защита от таких настойчивых злоумышленников требует упреждающего и стратегического подхода для усиления защиты от вредоносных программ, крадущих информацию.

#ParsedReport #CompletenessMedium
24-01-2024

Dark Web Profile: INC Ransom

https://socradar.io/dark-web-profile-inc-ransom

Report completeness: Medium

Threats:
Inc_ransomware
Spear-phishing_technique
Lolbin_technique
Megasync_tool
Credential_dumping_technique

Victims:
North american and european organizations

Industry:
Financial

Geo:
America

CVEs:
CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- citrix netscaler application delivery controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13, 11.1-65.22)
- citrix netscaler gateway (<13.0-91.13, <13.1-49.13)


TTPs:
Tactics: 12
Technics: 13

IOCs:
File: 5
Domain: 1

Soft:
Wordpad, Internet Explorer, PSExec

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что INC Ransom - это очень изощренная киберпреступная группировка, специализирующаяся на целенаправленных атаках с использованием программ-вымогателей. Они тщательно выбирают цели со значительными финансовыми ресурсами и конфиденциальными данными, чтобы максимизировать свои требования о выкупе. Они используют передовые методы, такие как скрытый фишинг и использование уязвимостей для получения доступа к сетям, а затем используют коммерческое готовое программное обеспечение (COTS) и законные системные инструменты для разведки и бокового перемещения внутри сети. INC Ransom выходит за рамки шифрования и блокировки данных, занимаясь кражей данных и угрозами их обнародования, оказывая дополнительное давление на жертв с целью заставить их подчиниться. Они используют различные инструменты и программное обеспечение для своих атак, в первую очередь нацеленных на организации в Северной Америке и Европе, особенно в Соединенных Штатах. Для защиты от этих угроз необходимы надежные меры безопасности и бдительность.
-----

INC Ransom - это новая и очень изощренная киберпреступная группировка, специализирующаяся на целенаправленных атаках программ-вымогателей. В отличие от оппортунистических операторов программ-вымогателей, INC Ransom тщательно выбирает свои цели, уделяя особое внимание организациям со значительными финансовыми ресурсами и конфиденциальными данными. Поступая таким образом, они стремятся максимизировать потенциальную отдачу от своих требований о выкупе.

INC Ransom использует передовые методы в своих атаках. Они начинают с проведения фишинговых кампаний или использования известных уязвимостей, таких как CVE-2023-3519 в Citrix NetScaler, чтобы получить первоначальный доступ к сети цели. Оказавшись внутри, они используют комбинацию коммерческого готового программного обеспечения (COTS) и законных системных инструментов, известных как LOLBINs, для разведки и бокового перемещения внутри сети. Это позволяет им оставаться незамеченными и уклоняться от мер обнаружения и предотвращения.

Атаки INC Ransom выходят за рамки шифрования и блокировки данных. Они также занимаются кражей данных и угрозами публичного разглашения - тактика, известная как двойное вымогательство. Угрожая раскрыть украденные данные, они оказывают дополнительное давление на жертв, заставляя их выполнить требования о выкупе.

Группа использует сложный и многоэтапный подход к атакам. Они используют различные инструменты для внутренней разведки и перемещения в стороны, включая NETSCAN.EXE, MEGAsyncSetup64.EXE, ESENTUTL.EXE и AnyDesk.exe. Для сбора и обработки данных они злоупотребляют законным программным обеспечением, таким как 7-Zip, Wordpad, Notepad и MSPaint. Передача данных облегчается за счет установки MegaSync на серверах. Такие инструменты, как Advanced IP Scanner и Internet Explorer, используются для горизонтального перемещения по сети. Команды доступа к учетным данным, потенциально использующие lsassy.py, используются для извлечения учетных данных для входа. Программы-вымогатели внедряются с использованием маскировок, таких как winupd, выполняемых через wmic.exe и PsExec. Они также адаптируют свои методы и устраняют неполадки по мере необходимости, предлагая автоматизацию с помощью пакетных файлов или скриптов.

INC Ransom работает в основном в Северной Америке и Европе, уделяя особое внимание организациям в Соединенных Штатах. Их деятельность представляет значительную угрозу для системы кибербезопасности из-за их сложной методологии атак и меняющейся тактики. Защита от этих угроз требует принятия надежных мер безопасности и сохранения бдительности для предотвращения успешных атак.

#ParsedReport #CompletenessLow
24-01-2024

Dark Web Profile: Malek Team

https://socradar.io/dark-web-profile-malek-team

Report completeness: Low

Threats:
Mosesstaff

Victims:
Ziv medical center, Ono academic college, Israeli defense forces, Israeli government bodies

Industry:
Government, Education, Healthcare

Geo:
Israeli, Iran, Asia, Iranian, Israel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Malek Team, предполагаемая хакерская группа, связанная с Ираном, проводила кибератаки против ключевых израильских учреждений. Эти атаки, нацеленные на такие сектора, как здравоохранение и образование, демонстрируют растущую изощренность киберпреступников и подчеркивают уязвимость критически важной инфраструктуры. Нарушения вызывают обеспокоенность по поводу национальной безопасности и демонстрируют взаимосвязь между геополитическим соперничеством и кибервойной. Для смягчения этих угроз необходимы надежные меры кибербезопасности и постоянная бдительность.
-----

Malek Team, хакерская группа, предположительно связанная с Ираном, активизировала свои кибератаки против ключевых израильских учреждений, что указывает на рост цифровых угроз в регионе. Эта группа, которая вербует хактивистов из Южной Азии и Ближнего Востока, нацелена на различные сектора в Израиле. Наиболее заметные атаки включают изощренную атаку на израильский медицинский центр "Зив", компрометирующую конфиденциальные медицинские записи, и взлом в академическом колледже Оно, компрометирующий студенческие записи.

Кибератака на медицинский центр "Зив" привела к краже 500 ГБ данных, включая высокочувствительную личную и медицинскую информацию пациентов, некоторые из которых были военнослужащими Армии обороны Израиля (ЦАХАЛ). Это нарушение вызвало обеспокоенность по поводу национальной безопасности и высветило уязвимость критически важной инфраструктуры здравоохранения. Израильское национальное киберуправление приняло немедленные меры, и медицинский центр Ziv отключил свой почтовый сервер и критически важные системы, чтобы локализовать нарушение. Это была третья кибератака на медицинский центр за четыре месяца.

Атаки Malek Team на медицинский центр "Зив", академический колледж Оно, израильские правительственные учреждения и ЦАХАЛ указывают на более широкую стратегию использования уязвимостей в цифровой инфраструктуре ключевых учреждений. Эти кибератаки отражают растущую изощренность киберпреступников и эскалацию кибервойны в регионе. Ни один сектор не застрахован от этих угроз, поскольку мишенями становятся различные сектора, такие как здравоохранение и образование.

Утечки, связанные с конфиденциальными данными, включая информацию о персонале ЦАХАЛа, вызывают опасения по поводу национальной безопасности. Они также согласуются с более широкой тенденцией связанной с государством или поддерживаемой государством кибердеятельности, потенциально связанной с напряженностью в отношениях между Израилем и Ираном. Для смягчения последствий таких атак требуются постоянная бдительность, надежные меры кибербезопасности и практика кибергигиены.

Эти кибератаки выходят за рамки непосредственного воздействия на целевые организации и демонстрируют стирание границ между геополитическим соперничеством и кибервойной. В контексте сложной региональной динамики Израиля они служат напоминанием о цифровом поле битвы, которое дополняет физические и дипломатические конфликты.

#ParsedReport #CompletenessMedium
24-01-2024

Cybercrime Central: VexTrio Operates Massive Criminal Affiliate Program

https://blogs.infoblox.com/cyber-threat-intelligence/cybercrime-central-vextrio-operates-massive-criminal-affiliate-program

Report completeness: Medium

Threats:
Vextrio
Clearfake
Socgholish_loader
Glupteba
Sidewalk
Popunder_technique
Amadey
Beacon
Parrot_tds
Antibot

Industry:
Education, Financial

Geo:
Russian, Africa, Italian, Italy, Indian, German, Colombia

ChatGPT TTPs:
do not use without manual check
T1568, T1140, T1203, T1059, T1107, T1189, T1562, T1102, T1059.007, T1059, have more...

IOCs:
Domain: 28
Coin: 1
File: 2
Hash: 1

Soft:
TikTok, WordPress, Chrome, macOS, Tinder

Crypto:
binance

Algorithms:
sha256, base64

Functions:
DNS, HTTP, Keitaro, atob, b64_to_utf8

Languages:
javascript

Platforms:
intel

Links:
https://github.com/infobloxopen/threat-intelligence/blob/main/cta\_indicators/vextrio\_cta\_20240123\_iocs.csv

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 14, chart: 1, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что VexTrio - это высокоорганизованная киберпреступная группировка, которая действует как брокер трафика и использует системы распределения трафика (TDS) для перенаправления пользователей на нелегальный контент в злонамеренных целях. Они сотрудничают с другими участниками, такими как ClearFake и SocGholish, и имеют обширную сеть филиалов и скомпрометированных веб-сайтов. Схемы и методы генерации доменов VexTrio продолжают развиваться, что затрудняет обнаружение их вредоносных действий. Они также используют методы обфускации, чтобы скрыть свой код, и часто обновляют свои инструменты, тактику, доменные имена и домены верхнего уровня, чтобы избежать обнаружения.
-----

VexTrio - это киберпреступная группировка, действующая в рамках более крупной криминальной экономики.

Они занимаются покупкой и продажей товаров и услуг и поддерживают злонамеренные отношения с другими субъектами, такими как ClearFake и SocGholish.

VexTrio управляет системами распределения трафика (TDS) для маршрутизации пользователей в зависимости от устройства и местоположения.

Они выступают в качестве посредника трафика для нескольких киберпреступников, имеющих по меньшей мере 60 филиалов.

Блокировка доменов TDS на уровне DNS может быть эффективной защитой от доступа к вредоносному контенту.

У VexTrio есть обширная сеть филиалов и скомпрометированных веб-сайтов, используемых для перенаправления веб-трафика.

Они используют различные цепочки атак и используют реферальные программы, связанные с McAfee и Benaughty.

Схемы генерации доменов VexTrio постоянно совершенствуются, чтобы избежать обнаружения.

Они управляют веб-серверами на базе HTTP и DNS-серверами как частью своих TDS.

Партнеры VexTrio перенаправляют скомпрометированный трафик на свои веб-серверы, и значения из строк URL-запросов важны для определения авторства и оценки активности партнеров.

ClearFake использует вредоносный фреймворк JavaScript для представления вредоносного контента и перенаправляет пользователей на TDS-серверы VexTrio.

SocGholish - это вредоносная программа на основе JavaScript, связанная с VexTrio и предназначенная для пользователей ОС Windows.

SocGholish внедряет вредоносный JavaScript и предлагает пользователям загрузить замаскированное обновление для браузера.

Партнеры VexTrio регистрируют похожие домены и перенаправляют веб-трафик на кампании VexTrio.

VexTrio постоянно обновляет свои инструменты, тактику и доменные имена.

Филиалы VexTrio собирают трафик жертв с помощью компрометации проезжающих мимо и рассылки спама по электронной почте.

VexTrio и ее филиалы маскируют свой вредоносный код, используя методы JavaScript.

Неизвестный партнер, сотрудничающий с VexTrio, маскируется под службу защиты от ботов и собирает информацию о жертвах.

Филиалы используют средства сокращения URL-адресов для перенаправления трафика в сеть VexTrio.