BLACK HAT USA – ラスベガス – 8月6日(水) — 長年にわたり、セキュリティ研究者や脅威アナリストは、インターネット上の多くの悪意あるトラフィック配信システム(TDS)活動が、一般的なサイバー犯罪者によるものだと考えていました。しかし新たな調査によって、犯人はデジタル広告業界の一見正当な企業ネットワークであることが明らかになりました。
本日ラスベガスで開催されたBlack Hat USAにて、ネットワークセキュリティベンダーInfobloxの研究者が「No Hoodies Here: Organized Crime in AdTech(パーカーはいない:アドテク業界の組織犯罪)」と題したセッションで調査結果を発表しました。この調査は、VexTrioという、昨年Infobloxによって初めて詳細が明らかにされた大規模なサイバー犯罪オペレーションに焦点を当てています。
VexTrioは、TDSを利用して、侵害または偽装されたウェブサイトからウェブユーザーをハイジャックし、被害者をテクニカルサポート詐欺や偽のアップデート、フィッシングドメイン、エクスプロイトキットなど様々な悪意ある目的地にリダイレクトします。このオペレーションは独自のアンダーグラウンドTDSだけでなく、Keitaroのような商用プラットフォームなど他のTDSも利用し、マルウェアフレームワークSocGholishやClearFakeのような「アフィリエイト」オペレーションに被害者を絶えず供給しています。
当初、Infobloxの研究者はVexTrioを、被害者を出会い系やアダルトコンテンツ詐欺へ誘導する単一の悪意あるTDSオペレーションとして追跡していました。しかし、さらなる調査により、60以上のアフィリエイトと少なくとも70,000の悪意あるドメインが明らかになりました。
Black Hatのセッションで詳細が語られたInfobloxの最新調査は、TDSオペレーションのさらなる層を明らかにし、VexTrioがサイバー犯罪の領域をはるかに超え、正規の商用アドテク業界やその先にまで及んでいることを示しています。
VexTrioのサイバー脅威活動の軌跡
Infobloxの脅威インテリジェンス担当副社長Renée Burton氏は、悪意あるアドテクの世界はサイバーセキュリティで最も見過ごされている分野の一つであり、研究者たちは脅威アクターの特定や帰属において進展を見せているものの、活動の全容把握は最新のキャンペーンにまだ追いついていないと述べています。
その一例として、Black Hatセッションを主導し、カンファレンス前にDark Readingの取材に応じたBurton氏は、Infobloxが過去3~4年間にインターネット上の侵害されたサイトからハイジャックされたトラフィックの多くが同じ宛先に向かっていることを特定したのは2020年頃だったと語ります。実際、2024年にはGoDaddyが観測した侵害ウェブサイトの40%がVexTrioに誘導されていました。
この種の脅威活動の手法は比較的単純です。脅威アクターは(多くの場合WordPress上の)ウェブサイトの脆弱性や関連ツール、プラグインを悪用してサイトを乗っ取ります。サイトの制御を確立すると、TDSを使ってユーザーをリダイレクトするだけでなく、ユーザーの地理的位置や端末、その他の技術的仕様に基づいてトラフィックを「フィルタリング」します。また、アンチマルウェアソフトやサンドボックス環境を除外して、研究者のシステムを回避し検出を逃れることもできます。
長年、情報セキュリティコミュニティはVexTrioをアンダーグラウンドのツールやドメインを使う従来型のサイバー犯罪組織だと考えていました。しかしこの常識は、昨年秋にInfobloxと他2社—Sucuri(ウェブセキュリティ企業)、および抑圧的な国のメディアに安全なホスティングと脅威調査を提供するQurium—が同時に同じ結論に達したことで劇的に変わりました。
「私たち3社とも、『ちょっと待て、これらの悪意あるリンクは実は商用リンクだ』と気づいたのです」とBurton氏は語ります。「それはまさに衝撃的な発見で、VexTrioだけでなく、私たちが追跡している多くのTDSがScattered Spiderやネットでたむろする若者たちではなく、実際にはアドテク企業であることが分かったのです。」
Los Pollosの名前はテレビドラマ「ブレイキング・バッド」への明らかなオマージュです。
各社は独自に、VexTrio TDSに接続する複数の詐欺関連URLが、テレビドラマ「ブレイキング・バッド」へのオマージュと思われるLos Pollosという企業に所有されていることを発見しました。表向きはスイスに拠点を置くLos Pollosは、顧客がウェブサイトのトラフィックを収益化するためのアフィリエイトマーケティング会社として運営されています。
しかし同社は、Propeller Adsなど、過去に警告やサイバー犯罪悪用の歴史があるアドテク分野の「主要ブランド」との提携を誇らしげに掲げています。また各社やGoDaddyの研究者によると、Los PollosはVexTrioやDollyWayのようなマルバタイジングキャンペーンへのトラフィック仲介業者として機能していました。
VexTrioの背後にいるアドテク企業
Quriumの研究者がLos Pollosを調査したところ、それは氷山の一角に過ぎず、VexTrioに関連する他にも多くの相互接続されたアドテク企業が存在することが判明しました。例えばTacoLoco、Adtrafico、Teknology SAなどです。Quriumのレポートは、これらの組織をロシア拠点のTDSであるKehr[.]ioと結び付けており、これは「Doppleganger」として追跡されたロシアの偽情報キャンペーンを推進していました。
さらに重要なのは、Quriumの研究者がLos Pollos、TacoLoco、Adtraficoが、かつてAdspro Group(現在はAimedGlobal)として知られていたチェコの大手企業とつながっていることを突き止めた点です。この企業はインフラにTeknology SAを利用しています。調査チームはまた、これらのアドテク企業が、Teknology SAのオーナーであるGiulio Vittorio Leonardo Ceruttiが運営するスイスのByteCore AGやSkyForge Digital AGなど他のスイス企業にもつながっていることを明らかにしました。
Quriumのレポートを受けて、Infobloxの研究者はアドテク企業に関連する企業登記記録、DNSやドメイン名登録記録、SNS投稿、その他のデータを収集し、VexTrioに関連する商用企業のさらなる層を発見しました。また、長年にわたり協力してきた内輪の存在も明らかになりました。
「私たちは彼ら自身よりも彼らについて多くを知っています」とBurton氏は語ります。
Black Hatセッションと同時に公開されたVexTrioの詳細な三部構成レポートによると、イタリア人実業家グループがTekka Groupという持株会社の下で一連の企業に関与しており、米国拠点のペーパーカンパニーCrownstone LLCもスパム活動に関与していました。Ceruttiに加え、InfobloxのレポートはGuilio Lingua、Matteo Costa、Marco RufaをTekka関連グループのメンバーとして挙げています。
2004年に登場したこのグループのメンバーは、書類上は詐欺師やサイバー犯罪者には見えません—むしろその逆です。ロンドン・スクール・オブ・エコノミクスやボッコーニ大学など一流校のビジネス学位を持つ者もいます。しかしInfobloxの研究者は、主に初期のオンライン出会い系サイトを中心とした同グループのインターネット関連事業群を分析し、詐欺報告やスパム苦情、「怪しいドメインのパターン」などの警告サインの歴史を発見しました。
2015年、レポートによるとCeruttiが登場します。Infobloxの研究者は、Ceruttiがどのように他のグループメンバーと出会ったのかは不明としつつも、彼の参加はTekka Groupの転換点と重なり、間もなくスイス・ルガーノに「目が回るほど多数のマイクロ企業」を設立しました。
InfobloxはVexTrioの背後にいると疑われる主要人物に関連する数十社を特定しました。
2020年、Tekka GroupはAdsPro GroupのLos Pollosと提携しました。Los Pollosは、AdsProの取締役も務めるロシア語話者のIgor Voronin、Andrew Kunitsa、Dzmitry Laptsevichの3名によって管理されていました。もう一人の重要人物はAdsPro共同創業者兼COOのKroum Vassilevで、ブルガリア系カナダ人の起業家であり、Profine Energyなど複数企業のマネージングパートナーを務めています。
両グループはルガーノでオペレーションを統合し、VexTrioのデータセンターもそこに設置され、詐欺オペレーションとトラフィック配信スキームを融合して収益最大化を図りました。レポートによれば、8人の中核人物と100社以上が、悪意ある活動を隠蔽する一見正当な商用企業ネットワークを構築しました。
「この合併により、アドテク業界のあらゆる部分に関与する強力な商用企業群が生まれました」とレポートは述べています。「ブラックハットとの関係が、悪意あるトラフィック配信における彼らの支配力を確固たるものにしました。」
アドテク・エコシステムの悪用
Infobloxは、Ceruttiのイタリア人パートナーが2001年にVexTrioオペレーションの自分たちの側のコントロールを放棄したようだが、その理由は不明だと指摘しています。Burton氏によれば、Ceruttiはロシア語を話す東欧の人物たちとともに、商用企業に関与し続け、「オペレーションの表向きの顔」として活動しています。
サイバーセキュリティジャーナリストBrian Krebsによるレポートによれば、CeruttiはVexTrio活動への関与を強く否定し、名誉毀損でKrebsを訴えると事前に脅しています。
Infobloxのレポートは、TekkaおよびAdsPro関連企業の経営陣や上級スタッフの多くを研究者が特定したものの、VexTrio活動についてどれだけ知っているか不明なため、名前の公表は控えたとしています。
「VexTrioは世界中で数百人を雇用しています。平均的なVexTrio社員が本当のビジネスモデルをどれほど知っているかは不明です」とレポートは述べています。「これらの企業は対外的な役割に非常に若い女性を多く雇い、開発業務は東欧から契約しているようです。」
Infobloxによれば、商用企業を使ってトラフィック配信スキームを運営することは、運用面でも情報セキュリティコミュニティや法執行機関からの監視回避の面でも、脅威アクターにとって大きなメリットをもたらします。例えばLos Pollosは、同社のスマートリンクを使って悪意あるドメインにトラフィックを誘導する多くの脅威アクターの「寵児」となりました。
スマートリンク、または「ダイレクトオファー」とは、アフィリエイト広告主やパブリッシャー向けのリファラルリンクで、ユーザーの端末や地域に関係なく特定のコンテンツや目的地にリダイレクトされます。アドテク企業やCPA(コスト・パー・アクション)ネットワークは、ユーザーがメールアドレス提供や購入など「コンバージョン」と呼ばれる望ましい行動を取った場合のみアフィリエイトから報酬を得ます。Los Pollosは2024年、20万のアフィリエイトと毎月20億人以上のユニークユーザー、300万件のコンバージョンがあると主張しました。
「Los Pollosがアフィリエイトやユニークユーザー数を誇張している可能性はあるものの、その影響力は顕著です」とレポートは述べています。「彼らの中核サービスを支えるドメインは何年も見過ごされ、多くがセキュリティベンダーの自動生成“許可リスト”に載るほど人気となりました。VexTrioのドメインの中には1か月でトップ1万に入ったものもあります。」
VexTrioのサイバー犯罪の未来
ある意味で、これは完璧なシステムです。脅威アクターはアドテク企業に正規の顧客のように支払いを行い、TDSを通じて仮想通貨詐欺や偽キャプチャスキーム、ランサムウェア攻撃など様々な脅威のためにハイジャックされたトラフィックや無防備な被害者を安定して受け取っています。
一方、アドテク企業は正規の商用企業として活動し、実在するアフィリエイト広告主から収益を得て、正当性の仮面を維持することで、ドメイン一括ブロックなどサイバーセキュリティ企業からの厳しい制裁を回避しています。関与する企業が多いほどリダイレクトチェーンは複雑になり、脅威アナリストによる追跡が困難になり、消費者や企業従業員が回避するのも難しくなります。
この仕組みはVexTrioの運営者やリダイレクトチェーンの末端にいる脅威アクターにとって非常に儲かるものとなっているとBurton氏は述べています。レポートでは、VexTrioの主要人物が高級車など贅沢品をSNSで自慢するなど、豪華な生活を送っている様子も指摘されています。
「多額のお金が動いています。彼らは非常に良い暮らしをしています」とBurton氏は語ります。
しかしVexTrioの手法にも欠点があります。例えばBurton氏によれば、運営者たちは実名を使っており、世界中に「複雑なペーパーカンパニーのシェルゲーム」を作り上げたにもかかわらず、記録の痕跡を残してしまいました。これにより研究者は様々な糸口をたぐり、オペレーションの全容や関係者を特定できたといいます。
またCeruttiはVexTrioへの関与を否定していますが、Infobloxは複数のアドテク企業が「ブラックハットトラフィック」—悪意あるソースからのハイジャックトラフィック—に意図的に関与している証拠も発見しています。例えばブラックハットトラフィックや広告活動で有名なフォーラムBlack Hat Worldでは、Los Pollosの公式アカウントが「ブラックハットCPA」として活動していることを奇妙にも堂々と認めています。
Black Hat Worldフォーラムに投稿されたLos Pollos公式アカウントからの投稿。
「VexTrioがサイバー犯罪に加担していることは疑いようがありません」とInfobloxのレポートは断言しています。
そして今後も続報があるでしょう。Infobloxの研究者は、VexTrioに関連するアドテク企業はさらに多く存在し、パートナー組織やAdsPro Group傘下の企業である可能性が高いと考えています。加えて、アドテク以外でVexTrioオペレーションとは一見無関係に見える数十社とのつながりも分析を続けており、「非常に大規模な金融取引に関与している」とレポートは述べています。
「例えば、ドイツのProfine Energy GmbHが、Kroum Vassilev(Enevlo EEOD経由)と提携してProfine Energy Bulgariaを設立した経緯は私たちにとって謎です」とレポートは指摘しています。「KroumはAdsProとLos Pollosの自称共同創業者であるだけでなく、エネルギー業界とは言い難い分野で長い経歴を持っています。」
Burton氏によれば、VexTrioは間違いなくインフラを変更し、企業ネットワークに関与する証拠をオンラインから削除しようとするでしょう。これは昨年11月のQuriumレポート後にも運営者が行ったことです。例えばAdsPro Groupはインターネットアーカイブに対し、自社ドメインの複数ページの削除を依頼し成功しました。しかしBurton氏は、Infobloxとそのパートナーがオペレーションを撹乱するのに十分な証拠を蓄積したと自信を持っています。
「これが転換点になることを期待しています」とBurton氏は語ります。
翻訳元: https://www.darkreading.com/threat-intelligence/vextrio-cybercrime-outfit-legit-ad-tech