恶意广告网络Vane Viper:俄罗斯-塞浦路斯技术枢纽的恶意软件分发内幕

本文深入分析了名为Vane Viper的恶意广告网络,其通过塞浦路斯公司AdTech Holding及其子公司PropellerAds运作,利用流量分发系统(TDS)和大量域名分发恶意软件。文章详细揭露了其技术架构、域名注册策略、推送通知滥用机制,以及与Webzilla等高风险基础设施的关联,为防御此类威胁提供了DNS层面的洞察。

恶意广告网络Vane Viper:俄罗斯-塞浦路斯技术枢纽的恶意软件分发内幕

执行摘要

人们通常认为数字地下世界——木马、恶意软件投放器、虚假交友网站、投资骗局等——隐藏在互联网的黑暗角落。但越来越多的情况下,这些威胁隐藏在众目睽睽之下,被主流数字广告的光鲜外表所伪装。在某些情况下,广告技术平台被滥用,但我们发现越来越多的广告技术公司要么是同谋,要么积极参与恶意内容的分发。网络犯罪分子不仅仅是在利用广告技术平台,有时候,他们就是广告技术平台本身。

通过广告技术运行恶意活动有一个秘诀,那就是从合理的推诿否认开始。加入复杂的公司结构,再搅入不透明的所有权,你就获得了完美条件来实现有利可图的无责任状态。这些因素不仅使滥用成为可能;更使其可持续。空壳公司网络越是错综复杂,对运营的可见性就越低,归咎责任或追溯责任就越困难,这当然是故意设计的。

一个名为Vane Viper的此类行为者,已出现在我们大约一半的客户网络中,在过去一年中处理了约1万亿次DNS查询,使其成为我们观察到的最普遍的威胁行为者之一。Vane Viper受益于数十万个被入侵的网站以及插入到全球博客、游戏和购物网站中的广告。

公司文件和WHOIS数据将Vane Viper追溯至AdTech Holding,一家塞浦路斯的控股公司。其旗舰子公司PropellerAds充当广告网络和流量经纪人,从多个渠道(包括被入侵的网站)获取流量,并通过其流量分发系统(TDS)将点击路由至恶意页面。尽管PropellerAds过去曾被其他机构牵涉到恶意广告活动中,但证明他们已从被滥用的服务转变为同谋的推动者一直具有挑战性。我们得出此结论并非轻率。

数月来,我们内部进行了辩论,并征求了安全社区其他研究人员(如Guardio和Confiant)以及广告专家(如Augustine Fou)的观点。最终,我们发现了令人信服的证据,表明PropellerAds不仅对其平台的犯罪滥用“视而不见”,而且下文描述的指标以中高置信度表明,几个广告欺诈活动源自归属于PropellerAds的基础设施。我们尚未独立核实PropellerAds人员指挥了这些活动。当安全研究人员过去牵涉PropellerAds参与恶意广告活动时,Propeller的标准回复将调查结果定性为“诽谤”,同时推卸对下游损害的责任。

揭开所有权层面并梳理AdTech Holding所玩的空壳游戏,揭示了推诿否认为何能够盛行。Vane Viper偏好的注册商URL Solutions/Pananames属于CloudOne Digital,后者收购了XBT Holdings及其子公司Servers.com和Webzilla。PropellerAds完全拥有多个Webzilla子网,而Webzilla本身有着不光彩的历史:其基础设施曾被用于Methbot点击欺诈农场、俄罗斯的Doppelgänger虚假信息网站以及盗版巨头4shared。我们的调查还发现了一批有向欺诈者提供服务历史的高管,以及与一位俄罗斯寡头的财务联系。最终,我们挖得越深,就越清楚地看到,合理的推诿否认不是系统的缺陷,而是一个特性。

本文提供了Vane Viper的深入视图、其恶意操作以及通过DNS流量观察到的影响。结合我们的研究与Guardio、GoSecure等其他机构的研究,我们可以表明:

  • 共享的基础设施和人员联系将Vane Viper与Webzilla/XBT、已定罪的欺诈者以及俄罗斯寡头联系起来,将表面合法的广告技术与多次因广告欺诈、盗版、虚假信息、色情和赌博流量而被提及的基础设施和人员混合在一起(见图1)。
  • Vane Viper至少十年来一直在广泛的恶意广告、广告欺诈和网络威胁扩散中提供核心基础设施。
  • Vane Viper不仅为恶意软件投放器和网络钓鱼者代理流量,而且似乎运行自己的活动,这与先前记录的广告欺诈技术一致。

图1. 关键公司关系图

错综复杂的网络

名称“Vane Viper”指代AdTech Holding,一家总部位于塞浦路斯的广告技术和营销技术公司控股公司。其最著名的子公司PropellerAds,为我们提供了第一个清晰的Vane Viper基础设施归属点。最初单一的归属点很快演变成一个更加复杂的恶意广告技术、赌博、盗版、色情、虚假信息等网络。

但首先,一些基础知识:

  • PropellerAds使内容发布者能够通过广告将其网站货币化,并使创建并支付广告费用的广告商能够推广其产品或服务。PropellerAds既作为供应方平台也作为需求方平台运营,赋予其对供应链的重要控制权。
  • 发布者是托管广告的网站、博客或应用程序的所有者或运营商。他们提供显示广告的空间,根据广告产生的展示次数、点击次数或转化次数赚取收入。
  • 点击是不言自明的;然而,展示次数和转化次数可能不是。展示次数是广告显示的频率,而转化次数是广告互动产生的行动,包括回答问题或提供信息等。
  • 广告商是希望推广其产品、服务或内容的企业、个人或品牌。他们创建广告并支付费用将其展示给潜在客户。广告商旨在触达特定受众以驱动流量、生成潜在客户或增加销售额。然而,在黑帽世界中,广告商从事不道德或非法的行为来投放恶意软件;窃取凭证、个人身份信息(PII)或支付信息;或人为地增加广告收入。
  • 此外,PropellerAds作为流量经纪人运营,聚合来自各种来源(包括第三方网络)的流量并将其转售给广告商。流量经纪使广告商能够接触广泛的受众池。

图2. PropellerAds显示的图表,展示其在数字广告生态系统中的位置(来源:PropellerAds)

PropellerAds确保广告向正确的受众展示,以最大化广告商的利润。在供应方,可以将他们视为一种广告“邮局”,确保包裹(广告)按时送达正确的收件人(发布者的网站)。此外,在需求方,他们提供服务,充当“广告引导员”,确保用户点击后能无缝重定向和路由到最相关的广告。

我们目前评估约有60,000个域名是Vane Viper基础设施的一部分。这些域名仅代表更广泛生态系统的一小部分。TDS可以将用户路由到几乎无限数量的下游登录页面,其中大部分未被捕获。重要的是要注意,TDS也可用于向用户提供合法的广告内容——事实上,这个行业正是“流量分发系统”一词的起源。不幸的是,TDS使威胁行为者能够向目标用户传递恶意内容,同时有意将自动化流量(包括安全研究人员使用的工具)引导至死胡同。这与隐匿工具包结合使用,后者通常与TDS紧密耦合,但又是分开的。Vane Viper隐藏在作为广告网络运营的合理推诿否认之后,同时使用其TDS传递多种威胁。广告技术碎片化的结构和对实时竞价(RTB)的依赖使得合理的推谿否认成为固有特性。Confiant的Zirconium恶意广告行为者是威胁行为者如何利用广告技术需求和供应链中碎片化的另一个好例子。在广告技术供应链的每一步都有如此多的中介,恶意行为者很容易伪装成合法参与者。

公司结构与历史

我们所说的“错综复杂的网络”是指AdTech Holding拥有的公司之间,以及与他们有业务往来的公司(如他们的网络主机和域名注册商)之间错综复杂的关系网络。AdTech Holding位于一个投资组合的顶端,该组合包括PropellerAds和至少其他四家公司:

  • ProPushMe
  • Zeydoo
  • Notix
  • Adex

这些公司各自在这个广告技术生态系统中扮演着自己的角色,从管理推送通知到表面上的识别机器人流量。我们在许多活动中看到Notix、Adex和ProPush域名与Vane Viper域名一起出现。这些公司各自都可以拥有自己的子公司。Monetag是另一家广告技术公司(但不是AdTech Holdings的指定部分),是PropellerAds的子公司,如图3所示:

图3. promo.monetag[.]com/page47501153.html的截图,带有PropellerAds品牌和联系信息

像Monetag这样的Propeller子公司试图掩盖与其母公司的联系。发现图3纯属运气;有一段时间我们假设Monetag是一家独立但有关联的公司。BeMob和RollerAds是我们所说的“独立但有关联”的好例子。PropellerAds与这两家公司都建立了战略合作伙伴关系。BeMob自2017年以来就一直宣传其与PropellerAds的合作关系。Guardio最近发布了关于使用BeMob TDS作为一种代理的研究(其中活动操作者在Vane Viper的TDS,特别是Monetag之后链接了BeMob TDS),然后传递Lumma Stealer有效载荷。RollerAds由PropellerAds的一位前经理创立,我们目前认为其独立运营,但如果它是PropellerAds的子公司,我们也不会感到惊讶。

如果你已经被这些商业关系搞糊涂了,请坚持住——从这里开始只会更加复杂。

PropellerAds的所有权历史很复杂。它于2011年在伦敦作为一家独立公司成立。这个最初版本的PropellerAds的原始董事之一是Mardiros Haladjian。他出现在《天堂文件》中,有一个塞浦路斯地址,并且是一家名为Eldor Services的马耳他公司的董事。马耳他是欧洲著名的赌博中心,这似乎与恶意广告技术公司没有很好的联系,直到你对Haladjian进行更深入的挖掘。2015年,他在世界知识产权组织(WIPO)与EvoPlay LLP就Vulkan在线赌场域名发生的域名纠纷中被列为被申请人。奇怪的是,Haladjian现在似乎是EvoPlay的所有者,在一系列伯利兹(可能是空壳)公司之间的所有权转移后接手。几年后,在2018年,他再次因与Vulkan相似域名相关的纠纷被点名。这次,Haladjian是与在Global Domain Privacy Services Inc.(也称为Pananames/URL Solutions,我们稍后会回到他们)工作的俄罗斯国民一起作为共同被申请人。我们知道Haladjian与俄罗斯国民合作参与在线赌博,他似乎偏爱使用离岸避税天堂的空壳公司(在WIPO纠纷中,他被列为“Mardiros Haladjian, GGS Ltd. of Anguilla”);他也不反对连环域名抢注。2018年WIPO诉讼的裁决认为Vulkan相似域名是恶意注册的;2015年的诉讼则没有。无论是否存在潜在的商标法违规,这些行为都很容易违反赌博法律,尤其是在赌博几乎完全非法的俄罗斯。

但是,像老式沙龙老板一样,当有更多快钱可赚时,为什么只停留在赌博上呢?Haladjian也是Hammy Media Ltd.的董事,这是一家总部位于塞浦路斯的公司,运营着主要的成人网站xHamster

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次