Last Updated on 2024-01-24 00:29 by 荒木 啓介
【ダイジェスト】
サイバー犯罪の「ウーバー」とも称されるVexTrioは、60以上のアフィリエイトと提携し、悪意あるトラフィックの仲介業者として活動しています。Infobloxの最新の調査によると、ClearFakeやSocGholishなどの脅威アクターが、VexTrioとのパートナーシップを結んでおり、サイバー犯罪業界内での活動の広がりと深さを示しています。VexTrioは、セキュリティ文献で説明されている中で最大の悪意あるトラフィック仲介業者とされています。
VexTrioは2017年から活動しているとされ、スキャム、リスクウェア、スパイウェア、アドウェア、望ましくないプログラム(PUP)、ポルノコンテンツを拡散するために、辞書ドメイン生成アルゴリズム(DDGA)によって生成されたドメインを使用しています。2022年には、Googleがインフラの大部分を取り下げた後も、Gluptebaマルウェアを配布する活動が確認されました。2023年8月には、WordPressのウェブサイトを悪用し、訪問者を中間のC2およびDDGAドメインに条件付きでリダイレクトする大規模な攻撃を仕掛けました。この攻撃で注目されたのは、DNSプロトコルを利用してリダイレクトURLを取得し、DNSベースのトラフィック配布(TDS)システムとして機能したことです。
VexTrioは70,000以上の既知のドメインを運用し、ClearFakeやSocGholish、TikTok Refreshなど60以上のアフィリエイトのトラフィックを仲介しています。Infobloxの詳細なレポートによると、VexTrioは各アフィリエイトに専用サーバーを少数提供する独自の方法でアフィリエイトプログラムを運営しており、その関係は長期にわたるものです。VexTrioは複数のTDSネットワークを制御し、サイト訪問者をプロファイル属性(例:地理的位置、ブラウザのクッキー、ブラウザの言語設定)に基づいて不正なコンテンツにルーティングし、利益を最大化する一方で、それ以外のトラフィックはフィルタリングします。
これらの攻撃では、異なる当事者が所有するインフラが使用され、参加するアフィリエイトは自身のリソース(例:侵害されたウェブサイト)からのトラフィックをVexTrioが制御するTDSサーバーに転送します。次の段階では、このトラフィックが他の詐欺サイトや悪意あるアフィリエイトネットワークにリレーされます。VexTrioのネットワークは、他のサイバー犯罪者からウェブトラフィックを消費するだけでなく、そのトラフィックを自身の顧客に販売するTDSを使用しています。
VexTrioが運営するTDSには、HTTPに基づくものとDNSに基づくものの2種類があり、後者は2023年7月に初めて使用され始めました。SocGholish(別名FakeUpdates)はVexTrioのアフィリエイトである一方で、KeitaroやParrot TDSなど他のTDSサーバーも運営しており、後者はウェブトラフィックをSocGholishのインフラにリダイレクトするメカニズムとして機能します。Palo Alto Networks Unit 42によると、Parrot TDSは2021年10月から活動しているが、2019年8月から存在していた可能性があるとされています。
VexTrioのアフィリエイトネットワークが被害者のトラフィックを集めるために採用している攻撃手法は、脆弱なバージョンのWordPressソフトウェアを実行しているウェブサイトを狙い、HTMLページに悪質なJavaScriptを挿入することです。Infobloxによって特定された例では、南アフリカに拠点を置く侵害されたウェブサイトが、ClearFake、SocGholish、VexTrioからのJavaScriptが注入されていることが明らかになりました。
さらに、VexTrioは多数のサイバーキャンペーンにウェブトラフィックを提供するだけでなく、アフィリエイトからウェブトラフィックを受け取り、それを下流の脅威アクターに再販することで利益を得ていると疑われています。Infobloxは、VexTrioの高度なビジネスモデルが他のアクターとのパートナーシップを促進し、非常に破壊が困難な持続可能で強靭なエコシステムを作り出していると結論付けています。アフィリエイトネットワークの複雑な設計と絡み合った性質のために、正確な分類と帰属を達成することは困難です。この複雑さが、VexTrioが6年以上にわたりセキュリティ業界に名前を知られることなく繁栄することを可能にしています。
【ニュース解説】
サイバー犯罪の世界において、VexTrioという組織が注目されています。この組織は、60以上のアフィリエイトと提携し、悪意のあるトラフィックを仲介する業者として活動しているとされています。セキュリティ企業Infobloxの調査によると、VexTrioはサイバー犯罪業界内で広範な活動を展開し、深いつながりを持っていることが明らかになりました。
VexTrioは、2017年から活動しているとされ、さまざまな種類の悪質なコンテンツを拡散するために、特定のアルゴリズムを用いて生成されたドメインを使用しています。これには、詐欺、スパイウェア、アドウェア、望ましくないプログラム(PUP)、ポルノコンテンツなどが含まれます。特に、Googleが取り組んだインフラの一掃作戦にもかかわらず、Gluptebaマルウェアの配布を続けていることが確認されています。
VexTrioは、70,000以上のドメインを管理し、そのネットワークを通じてアフィリエイトのトラフィックを仲介しています。彼らは各アフィリエイトに専用サーバーを提供し、長期にわたる関係を築いていると言われています。VexTrioは、訪問者の地理的位置やブラウザの設定などの属性に基づいて、不正なコンテンツへのルーティングを行い、利益を最大化しています。
VexTrioの攻撃は、複数の当事者が所有するインフラを利用し、アフィリエイトが自身のリソースからのトラフィックをVexTrioのサーバーに転送し、その後、詐欺サイトや他の悪意あるネットワークにリレーするというものです。彼らは、他のサイバー犯罪者からのトラフィックを集めるだけでなく、それを自分たちの顧客に販売することも行っています。
VexTrioが運営するトラフィック配布システム(TDS)には、HTTPとDNSに基づく2種類があります。これらは、2023年7月から使用され始めたとされています。また、VexTrioのアフィリエイトであるSocGholishは、独自のTDSサーバーも運営しており、ウェブトラフィックを自身のインフラにリダイレクトする役割を果たしています。
VexTrioのアフィリエイトネットワークは、脆弱なWordPressサイトを狙い、悪質なJavaScriptを挿入することで被害者のトラフィックを集めます。例えば、南アフリカのウェブサイトが、ClearFake、SocGholish、VexTrioの3つの異なるソースからJavaScriptが注入されていることが発見されました。
VexTrioは、アフィリエイトから受け取ったトラフィックをさらに他の脅威アクターに販売することで収益を上げていると考えられています。Infobloxは、VexTrioのビジネスモデルが他の犯罪者とのパートナーシップを促進し、非常に破壊が困難なエコシステムを構築していると指摘しています。その複雑な構造とアフィリエイトネットワークの絡み合った性質が、VexTrioが長年にわたりセキュリティ業界から名前を隠し続けることを可能にしています。
from VexTrio: The Uber of Cybercrime – Brokering Malware for 60+ Affiliates.
