Infobloxの研究者は、VexTrioに関する新たな調査結果を発表しました。VexTrioは、トラフィック分配システム(TDS)、偽装ドメイン、登録済みドメイン生成アルゴリズム(RDGA)を利用して、マルウェア、詐欺、違法コンテンツを配信する大規模な犯罪組織です。
研究者たちは、9人の個人、ペーパーカンパニー、そして広範なインフラが、世界的な広告詐欺および詐欺オペレーションに関与していることを突き止めました。
このセキュリティ企業は、8月6日にラスベガスで開催されるBlack Hat USAで、新たな調査結果をまとめた80ページの報告書を発表する予定です。
VexTrioのサイバー犯罪支援オペレーションの理解
VexTrio(別名Vextrio Viper)は、少なくとも2017年から活動しているサイバー詐欺ネットワークです。2022年2月にInfobloxによって発見されました。
VexTrioの運営者は、特にWordPressを利用しているウェブサイトを侵害し、悪意のあるスクリプトを注入してユーザーを有害なコンテンツへリダイレクトすることで知られています。彼らは、脅威アクターとインフラ提供者をつなぐ仲介役を果たし、幅広いサイバー犯罪活動を可能にしています。
彼らは通常、TDSを利用して、地理的位置、デバイスの種類、ユーザーの行動など特定の条件に基づいてウェブトラフィックをフィルタリングし、リダイレクトします。これらのシステムは、侵害されたウェブサイトや悪意のある広告に依存し、無防備なユーザーを悪質なエコシステムへ誘導します。
VexTrioはTDSを活用し、被害者をマルウェア、詐欺、エクスプロイトキットなど、最も関連性の高い悪意のあるペイロードへ誘導します。
さらに、VexTrioは運営を支援するためにドメインネームシステム(DNS)の操作に大きく依存しています。DNSレコードを制御または侵害することで、グループは被害者を知らぬ間に悪意のあるサーバーへリダイレクトできます。
VexTrioが採用している高度なDNS操作技術の一部は以下の通りです:
- ファストフラックスDNS技術:ドメインに関連付けられたIPアドレスを高速で変更し、検出やテイクダウンの試みを回避
- DNSトンネリング:DNSクエリ内にデータをエンコードする技術(例:悪意のあるドメインへのリクエスト)で、セキュリティ制御を回避したり、データを流出させたり、隠密なC2(コマンド&コントロール)通信を確立したりする
- ドメイン生成アルゴリズム(DGA):感染システムとの通信を維持しつつ、検出を回避
VexTrioの主要なコンテンツ配信ネットワークドメインは、TrancoおよびInfobloxの両方で測定された世界的な人気トップ10,000ドメインの1つです。
VexTrioの起源、運営者、インフラに関する新たな発見
Infobloxの報告書は、VexTrioの所有者がヨーロッパ各地で数十のビジネスを複数の業界(アフィリエイトマーケティングを含む)で運営していることを初めて明らかにしました。
これらのビジネスはすべて、2つの異なるネットワークから発祥しています:
- イタリア系グループ(Tekka GroupやCrownstone LLCなどの関連会社を含む)で、スパムや偽の出会い系サイトの歴史を持つ
- 東欧系グループ(Los Pollos、AdsProなどの関連会社を含む)で、高度な技術力とインフラ能力を持つ
これら2つのネットワークは、2020年に合併し、広告技術、モバイルアプリ、エネルギー、建設、さらにはスキーリゾートなど、ほぼ100社・ブランドからなる多国籍犯罪組織となったとされています。
AdsPro Group(AdsPro DigitalやAdsPro Globalとも呼ばれる)は、VexTrio TDSの作成を担う多国籍ペーパーカンパニーネットワークであり、大量のインターネットトラフィックを詐欺へリダイレクトするために利用されています。
「アフィリエイトマーケティングを装い、複数のブランドを運営する正当なアドテック企業のふりをしながら、さまざまな種類の詐欺を組織しています」とInfobloxの報告書は述べています。
さらに、新たな報告書はVexTrioの現在の活動の全容も明らかにしました。これには以下が含まれます:
- 偽の出会い系・アダルトサイト、偽のアンチウイルスや広告ブロックアプリ、懸賞・賞品詐欺、プッシュ通知によるサブスクリプション詐欺、偽のEC・暗号投資プラットフォームなど、自社運営の詐欺
- HolaCode、LocoMind、Hugmi、Klover Group、AlphaScale Mediaなどの名義での悪意のあるアプリの開発・配布
- 決済プロセッサ(例:Pay Salsa)やメール検証サービス(例:DataSnap)の運営
- Los Pollos、TacoLoco、Adtraficoなどのウェブサイトを通じて、アフィリエイトネットワークのパブリッシャー側と広告主側の両方を管理
![The Los Pollos website in May 2024, as recorded by archive.org, claimed two billion unique users. Several of the testimonial brands listed on the site, including Teknology, tacolo[.]co, and Adtrafico are part of VexTrio. Source: Infoblox](https://assets.infosecurity-magazine.com/content/span/b9c59ed7-d278-4080-9466-573322259663.png)
Infobloxはまた、幅広い悪意のある活動にもかかわらず、VexTrioのグローバルオペレーションは、わずか250台未満の仮想マシンと少数のホスティングプロバイダーで運営されていることも明らかにしました。
最後に、Infobloxの報告書は、VexTrioネットワークに関連する一部の個人(Giulio Cerutti、Igor Voronin、Andrew Kunitsa、Dzmitry Laptsevich、Kroum Vassilev、Matteo Costa、Marco Rufa、Giulio Lingua)を初めて明らかにしました。
これらの人物は、スイス、チェコ、ブルガリア、モルドバ、カナダにまたがるVexTrio関連企業数十社と関係しており、企業の透明性記録、商標、ソーシャルメディア活動、その他公開されている文書の分析から特定されました。
翻訳元: https://www.infosecurity-magazine.com/news/bhusa-cybercrime-network-vextrio/