VexTrio という悪のネットワーク帝国：60 以上のアフィリエイトたちとトラフィックを支配する

Cybercrime’s Silent Operator: The Unraveling of VexTrio’s Malicious Network Empire

2024/01/23 SecurityWeek — VexTrio は巨大で複雑かつ悪質な TDS (Traffic Direction System) 組織である。トラフィックを VexTrio へと迂回させる 60以上のアフィリエイト・ネットワークを持ち、それと同時に独自の TDS ネットワークも運営している。さまざまな研究者により、その活動の一端が発見／分析されているが、コアとなるネットワークは、ほとんど知られていない。

たとえば、ClearFake と SocGholish というアフィリエイトは、マルウェアを展開するグループとして認識されている。しかし、VexTrio は、純粋なトラフィック・ブローカーであり、マルウェアとは無関係である。

ネットワークの可視化と制御の企業である Infoblox は、２年近くも VexTrio を追跡してきたが、最近になってようやく、その活動範囲を理解できるようになった。本日発表されたレポートでは、VexTrio の規模と広がりについて解説が提供されている。

VexTrio とアフィリエイトの間には安定した関係があるようだ。SocGholish は、少なくとも２年近くVexTrioと提携しており、ClearFake は発足当初から提携関係にある。

一般的に TDS システムは、訪問者の特徴に基づき、訪問者とターゲット広告を結びつけるために使用される。しかし、悪意の TDS は、同じ原理で訪問者と悪意の Web サイト／ページを結びつける。多くの場合において、WordPress などの Web サイトを侵害し、それらのサイトに悪意のコードを注入することから始まる。この注入されたコードにより、訪問者の特徴を発見／分析し、次のアクションへとつなげることができる。

それぞれのアフィリエイトは、独自の TDS ネットワークを持っている。その中には、VexTrio に詳細を送るだけのところもある。また、訪問者に応じて、その情報を自身で利用し、残りを VexTrio に送信するところもある。たとえば SocGholish は、ユーザー・エージェント／IPアドレス／ブラウザー・クッキーなどで選別を行い、初めて訪れた Windows OS ユーザーのみをターゲットにする。そして、Mac ユーザーなどの、SocGholish の悪用方法と合致しない訪問者に対しては、Web トラフィックを利用して、VexTrio TDS サーバにリダイレクトする。

アフィリエイトがトラフィックを収集する際の、最も一般的に用いられる方法も、脆弱な WordPress サイトを標的とするドライブバイ侵害であり、悪意の JavaScript が HTML ページに注入される。JavaScript の複雑さは、それぞれのアフィリエイトにより異なるが、通常は VexTrio サーバへのリダイレクトとして機能する。複数のアフィリエイトにより１つのサイトが侵害されることも珍しいことではない。この場合の、VexTrio からアフィリエイトへの報酬は先着順となる。

その結果として VexTrio は、複数のアフィリエイトからのトラフィックと、自社の TDS ネットワークから得たトラフィックを組み合わせることが可能となる。それらのトラフィックは、VexTrio 自身による悪意のキャンペーンに利用されることもあるが、そうではない場合もは、他の脅威アクターたちに販売され、マルウェア／フィッシングなどの目的で悪用されることになる。

VexTrio は、犯罪者たちの裏社会における、主要なブローカーとなっている。VexTrioは 70,000 を超える既知のドメインで構成されているが、その半数近くは、Infoblox の顧客内で観測されている。同社の研究者たちは、「VexTrio の活動は、2020年以降において、１日あたりのネットワーク・トラフィックの 19% で確認されている。また、過去２年間における顧客ネットワークの 50% 以上で確認されている」とコメントしている。

サイバー犯罪者とセキュリティ擁護者の間には、常にネズミとネコのゲームが存在する。VexTrio は、DNS を悪用することで、世界中で攻撃を多発させている。DNS はネットワーク・ログに大きな足跡を残す。それにより攻撃を止めることはできないが、研究者たちは攻撃者を調査できる。Infoblox によると、最近の VexTrio は、インフラの大部分を共有ホスティング・プロバイダーに移行し、追跡をより困難 (不可能ではないが) にしているようだ。

研究者たちから逃れるための、もう１つの方法は、侵害と効果の間に遅延を設けることである。研究者たちは、「ロボット Captcha として知られる VexTrio キャンペーンを意図的に作動させた。そして、24時間ほど待って、システムを再起動したとき、我々のテスト・マシンが受信したのは、McAfee からのメッセージを装う大量のプッシュ通知だった」と記している。

VexTrio の複雑なビジネス・モデルは、これまでの６年間で解明されなかったが、それが今、知られるようになった。しかし、その複雑さゆえに、非常に回復力があり、ダウンさせるのが難しいのだ。

かなり大掛かりな、悪意の TDS ネットワーク VexTrio の存在が、明らかになったようです。そのアフィリエイトとして、ClearFake と SocGholish の名前が上がっていますが、どちらも、このプログに登場している脅威アクターです。よろしければ、Botnet で検索も、ご利用ください。