出典:RooM the Agency(Alamy ストックフォト経由)
「Vane Viper」として知られる大量のサイバー犯罪オペレーションが、過去10年以上にわたり活動しており、過去に問題を抱えた商業用デジタル広告プラットフォームによって支援されていると、セキュリティ研究者が報告しています。
Vane Viperは、数十万もの侵害されたウェブサイトや悪意のある広告を利用し、無防備なウェブユーザーをエクスプロイトキット、マルウェアドロッパー、ボットネット、詐欺、さらにはランサムウェアキャンペーンなどの目的地へリダイレクトします。同様のオペレーションと同じく、Vane Viperはトラフィック分配システム(TDS)を利用して複雑なリダイレクトチェーンを作成し、セキュリティ研究者による解析を難読化しています。
サイバーセキュリティ企業Infobloxの新しい調査によると、Vane Viperは過去1年間で同社が観測した中で最も蔓延している脅威グループの1つであり、同社の顧客ネットワークの約半数に出現し、約1兆件のDNSクエリを占めています。通常、サイバー犯罪グループは、正規のパブリッシャーやウェブサイトオーナーを装って商業用デジタルネットワークにアカウント登録し悪用します。しかし、Infobloxの調査では、Vane Viperがキプロスを拠点とする正規の商業広告技術(アドテック)企業PropellerAdsおよびその親会社AdTech Holdingと直接結びついている証拠が多数発見されました。
PropellerAdsは長年にわたり、大規模なマルバタイジングキャンペーンなどの悪意ある活動に利用されてきました。サイバーセキュリティベンダーは、同社がこのような利用を「見て見ぬふり」しており、実質的にサードパーティが活動を指摘するまで脅威アクターによるプラットフォームの悪用を許していると繰り返し非難しています——そして指摘された後でさえ、同社の対応は遅い、あるいは全く対応しないと研究者は述べています。しかしInfobloxは、Vane Viperに関する調査がPropellerAdsの全く異なる側面を示していると述べています。
このレポートでは、PropellerAdsおよびAdTech HoldingがVane Viperの活動を推進する他の多数の企業と結びついていることを示す技術的証拠やビジネス記録について詳述しています。Infobloxによれば、このオペレーションは「CDNグレードのインフラストラクチャ」を備えており、消費者と企業ユーザーの両方の安全を脅かしています。
「Vane Viperは単なるアドテックプラットフォームの背後に隠れた脅威アクターではありません」とレポートは述べています。「それ自体がアドテックプラットフォームとしての脅威アクターなのです。AdTech Holdingは広告主に大規模なリーチと収益化を提供すると主張していますが、実際に提供しているのはリスクです。」
PropellerAdsおよびAdTech Holdingは、Dark Readingからのコメント要請にまだ応じていません。
Vane Viperの仕組み
Infobloxの研究者は2022年に、悪意のあるドメインomnatuor[.]comに基づくOmnatuorマルバタイジングネットワークとしてVane Viperの追跡を開始しました。同様に、VexTrioサイバー犯罪オペレーションと同じく、Vane Viperは侵害されたWordPressサイトを利用して、アドウェアやスパイウェア、その他の悪意あるコンテンツを配信するプッシュ通知やポップアップ広告を送りつけます。
研究者たちはPropellerAdsの追跡を続け、今年は約6万のVane Viper関連ドメインを同社に帰属させました。多くのアドテック企業と同様に、PropellerAdsはウェブサイトオーナーが広告収入を得るためのデマンドサイド収益化プラットフォームであると同時に、広告主が自社製品やサービスを宣伝するためのサプライサイドプラットフォームでもあります。同社はまた、さまざまなソースからウェブトラフィックを集約し、広告主に「再販売」するトラフィックブローカーとしても機能しています。
PropellerAdsの場合、Infobloxおよび他のサイバーセキュリティ企業の研究者は、アドテックプラットフォームがマルウェアドロッパーやフィッシングキャンペーン、テクニカルサポート詐欺、情報窃取キャンペーン、ボットネットのためのトラフィックブローカーとして利用されていることを発見しました。しかし、InfobloxがPropellerAdsのビジネス面を詳しく調査するまで、研究チームはこのアドテックプラットフォームがVane Viperの中核をなしているのではないかと考え始めませんでした。
「PropellerAds上で動作している外部ソースからだけでなく、実際に自社ネットワークから発信されている脅威も特定しました。これは、彼ら自身のインフラ上でこれらの詐欺を実行していることを示唆しています」とInfobloxの脅威研究者David BrunsdonはDark Readingに語っています。
これを受けて研究チームは、アドテック企業がリースしているASNや、PropellerAdsに関連する数万のURLを生成するために利用しているドメインレジストラなど、インフラをさらに詳しく調査しました。この調査段階で、「複雑に絡み合ったウェブ」が明らかになり、他の複数の企業やロシアのテック起業家、詐欺で有罪判決を受けた人物も関与していることが分かったとBrunsdonは述べています。
Vane Viperの複雑な関係網
Infobloxの研究者がPropellerAdsやその子会社、姉妹会社であるMonetagなどのインフラストラクチャを調査し始めた際、他の企業とのいくつかの興味深い繋がりを発見しました。InfobloxのDNSセキュリティ研究者Chance Tudorは、Vane Viperのビジネス面を調査することで、悪意の全体像をより広く把握できたと述べています。
例えば、Vane Viperが好んで利用するドメインレジストラはURL Solutions(一般的にはPananamesとして知られる)であり、これはホスティングおよびクラウドサービスプロバイダーであるCloudOne Digitalが所有しています。
CloudOneはまた、2023年にXBT Holdingsおよびその有名な子会社であるServers.comとWebzillaを買収しました。「PropellerAdsは複数のWebzillaサブネットを完全に所有しており、Webzilla自体も過去に問題を抱えていました:そのインフラはMethbotクリック詐欺ファーム、ロシアのDoppelgänger偽情報サイト、そして海賊版大手4sharedのために使われていました」とInfobloxのレポートは述べています。「また、詐欺師にサービスを提供した経歴を持つ幹部や、ロシアのオリガルヒとの財務的な繋がりも多数発見されました。」
主要企業の関係図。出典:Infoblox
問題となっている「オリガルヒ」は、XBT Holdingsの創設者Aleksej Gubarevであるようです。Gubarevは、2016年の米大統領選挙におけるロシアの干渉に関する未確認の主張をまとめた2016年の「スティール文書(Steele Dossier)」に登場したことで最もよく知られています。この文書や後の元FBI捜査官による報告では、XBT関連企業がロシア政府支援のアクターによって、選挙干渉や偽情報キャンペーンなどの悪意ある活動に自由に使われていたとされています。
Gubarevはこのような主張を否定しています。2017年には「スティール文書」を公開したBuzzfeedを名誉毀損で訴えましたが、2021年に訴訟を取り下げました。
Infobloxのレポートでは、Gubarevの企業とAdTech Holdingの間に、インフラの重複や共有、主要人物間の個人的・職業的な繋がりなど、複数の関連があることを指摘しています。例えば、Gubarevは2021年にキプロスで設立されたテクノロジーインキュベーター「TechIsland」の共同創設者兼会長です。
Infobloxのレポートによると、TechIslandのメンバーにはAdTech Holdingのほか、同じくキプロス拠点のアドテック企業Adsterraも含まれています。PropellerAdsと同様、Adsterraも「Master134」と呼ばれる大規模マルバタイジングキャンペーンとの繰り返しの関連など、数々の問題や悪用の歴史があります。
「これらの繋がりが協調的な不正行為を証明するものではありません」とレポートは述べています。「しかし、総合的に見ると、不透明な株主構成、タックスヘイブンのオフショア企業、マルバタイジング、偽情報、クリック詐欺、プライバシー、広告トラフィックの乱用で繰り返し指摘されているネットワークの姿が浮かび上がります。」
Dark ReadingはCloudOneにコメントを求めましたが、返答はありませんでした。
アドテック業界の「もっともらしい否認」と懸念されるパターン
Infobloxは、企業に直接結びつく悪意ある活動の量と、共有インフラや企業間の繋がりが、アドテック企業によく見られる「もっともらしい否認」の主張を弱めていると指摘しています。
PropellerAdsの弁明は「他のアドテックプラットフォームと比べて悪質ではない」というものだとTudorは述べています。実際、同社は過去に悪意ある活動への関与を強く否定し、「あらゆる合理的な措置」を取って悪用を防いでいると主張しています。しかしInfobloxのレポートは、中程度から高い確度で、PropellerAdsとAdTech HoldingがVane Viperの基盤であるとしています。
「URL Solutions、Webzilla、AdTech Holdingは密接に結びついた3社で構成されています:サイバー犯罪に深く関与したレジストラを通じて大量に登録されたドメイン、Methbotから国家支援の偽情報まであらゆるものをホストしてきた企業が運営するインフラ、そして長年マルバタイジングに関与してきた広告ネットワークを通じて配信されるペイロード」とレポートは述べています。
また、Infobloxの顧客ネットワークで検出されたVane Viper活動の量からも分かるように、企業にもリスクをもたらしています。このオペレーションに関連する多くのウェブサイトはギャンブル、海賊版、アダルトコンテンツに関係していますが、Tudorは「企業ユーザーも消費者と同じく人間であり、警告サインがあっても怪しいリンクをクリックしてしまう」と述べています。
「もう2025年なのに、デジタル衛生について全く知らない人がいることに驚きます」と彼は言います。「広告ブロッカーを使う、怪しいリンクをクリックしない、NFLの試合を安く無料で観ようとしない、など基本的なことが大切です。」
Infobloxの脅威インテリジェンス担当副社長Renée Burtonは、仕事と家庭の環境の境界が曖昧になっていることがリスクを高めていると指摘します。「もはや家庭と職場の違いはありません」と彼女は述べています。
Infobloxのレポートはまた、Vane Viperはデジタル広告エコシステムにおけるより大きな問題の一端であると警告しています。デジタル広告エコシステムは、迅速かつスケーラブルな収益生成を目的に設計されており、説明責任を重視して構築されていません——そして脅威アクターはますますこの点を悪用しています。
「どこかの時点で、その設計が負債になってしまいました」とレポートは述べています。「Vane Viperは、このエコシステムを武器化するのがいかに簡単かを示しています。」
翻訳元: https://www.darkreading.com/vulnerabilities-threats/vane-viper-threat-group-propellerads