WordPress黑客与恶意广告技术之间的真实关系

执行摘要

一项最初旨在观察VexTrio如何应对干扰的研究，揭示了一系列令人惊讶的发现。当VexTrio的流量分发系统（TDS）受到干扰时，依赖该系统的多个恶意软件行为者全部迁移到一个“新”TDS，但实际上仍是同一个系统！最初被认为是一个独立的TDS，但我们发现的证据表明事实并非如此。多个商业TDS被发现与VexTrio共享软件元素，并受益于VexTrio与网站恶意软件行为者长期且排他的关系。最终，我们清楚地看到，使用恶意广告技术可能是主导恶意软件活动运营者的垮台原因，因为VexTrio集团可以识别他们。

背景

2024年11月13日，Qurium研究人员曝光瑞士-捷克广告技术公司Los Pollos是VexTrio的一部分，VexTrio是已知最大且最古老的恶意TDS。Qurium是在发现俄罗斯虚假信息行为者Doppelganger在其操作中使用Los Pollos的“智能链接”后建立这一联系的。几天后，我们与Qurium协调，并向多个安全行业合作伙伴发布了一组域名。我们希望这一组合拳能够暂时干扰VexTrio，并通过观察其恢复过程更好地理解他们与网站恶意软件行为者的关系。

我们很快得到了回应。2024年11月17日，Los Pollos宣布将停止其所谓的推送链接变现；用户被告知这些链接将“很快”停用。但这到底意味着什么？事实证明，几天内，全球范围内被不同WordPress漏洞利用且表面上由不同恶意软件行为者入侵的网站，都以完全相同的方式进行了更新。例如，GoDaddy的研究人员详细描述了DollyWay恶意软件（在其八年的活动中一直将受害者重定向到VexTrio）如何在2024年11月20日突然停止这样做，并开始将访问者路由到一个看似新的TDS，称为Help TDS。

但DollyWay并不是唯一一个改为将受害者导向Help TDS的恶意软件。自2015年底以来，许多不同的恶意软件变种感染了WordPress网站并将访问者重定向到VexTrio。GoDaddy在2024年度报告中发现，近40%的重定向访问者的受感染网站通过Los Pollos智能链接将他们发送到VexTrio。这些入侵导致了多种类型的网站注入，包括GoDaddy所称的Balada、DollyWay和Sign1，以及未命名的注入活动。到11月底，所有这些先前导向VexTrio的行为者都开始使用Help TDS，或完全停止其操作。

Los Pollos关闭了其推送变现服务，但他们只是组成VexTrio的庞大犯罪企业中的一个实体。VexTrio真的认输了吗？我们需要确定Help TDS是否是独立的。自然，我们将DNS作为我们研究的主要来源。

DNS TXT记录活动

为了研究恶意软件行为者如何适应干扰并改为使用Help TDS，我们考虑了一种特定类型的WordPress入侵。这些活动使用DNS TXT记录作为命令和控制（C2）机制，这是一种C2服务器在TXT记录中编码URL，受感染站点重定向到该URL的技术。DNS查询在主机名中包含有关网站访问者的编码信息，这使得C2服务器能够确定如何响应。

通过分析覆盖六个月（包括11月17日）的450万条DNS TXT记录响应，我们发现用于DNS TXT记录活动的域名分为两个不同的集合，每个集合有一个独特的C2服务器。两个服务器都托管在与俄罗斯相关的基础设施中，但它们的托管和TXT响应没有重叠。每个集合维护不同的重定向URL结构，尽管它们最初都导向VexTrio，随后导向Help TDS。这些发现为先前未报告的DNS TXT恶意软件活动提供了新的见解，并进一步证明在11月17日公告后，多个看似独立的恶意软件活动中发生了协调转向Help TDS的行为。

然后我们深入研究了Help TDS及其与VexTrio的关系。事实证明，Help TDS并不新，而是与VexTrio交织多年。GoDaddy的研究人员曾强调Help类似于他们称为Disposable TDS的另一个TDS；这也长期与VexTrio交织。我们的结果表明Disposable和Help TDS是同一个系统，并且在11月之前它们与VexTrio有着看似排他的关系。

进一步挖掘，我们发现了许多其他与VexTrio共享惊人数量特征的TDS。这些特征包括共同的文件和URL结构，暗示可能存在共享的代码谱系。虽然Help TDS运营者的身份仍然难以捉摸，但我们揭露了许多常见的TDS为商业广告技术公司，包括Partners House、BroPush和RichAds。随着Los Pollos推送变现的结束，我们看到了增加虚假CAPTCHA驱动用户接受推送通知的情况，尤其是来自Partners House。这些商业实体的关系仍然是一个谜；虽然它们肯定是长期合作伙伴，相互重定向流量，并且都有俄罗斯关联，但没有明显的共同所有权。

恶意软件行为者选择使用商业广告技术可能是他们的阿喀琉斯之踵。当我们揭示网站黑客与VexTrio集团之间的关系时，我们意识到每个恶意软件操作者在每个公司都有唯一的标识符。这些公司在允许加入之前会审查网络附属机构——我们知道，我们尝试过——并且他们维护有关附属机构及其付款的个人信息，这些信息可能导致他们的身份暴露。它们是否被滥用的服务的真正考验将是它们是否愿意交出困扰互联网并从全球受害者那里窃取无数资金的恶意行为者。

技术细节

DNS TXT记录活动分析

我们的分析系统通过DNS跟踪受感染网站与C2服务器之间的通信，使我们能够识别新的C2服务器和重定向。通过监控DNS查询，我们能够找到没有公开入侵证据的网站。此外，我们使自己成为许多网站的受害者，并跟踪对我们设备的持续影响。

在为期六个月的DNS TXT记录查询和响应纵向研究中，我们评估了Los Pollos停止“推送变现”服务对恶意软件操作的影响。我们最后一次观察到导致VexTrio的TXT记录响应是2024年11月21日，之后他们将受害者重定向到Help TDS。我们专注于关于部署DNS TXT记录恶意软件的威胁行为者的三个主要问题：

1. C2域与重定向URL之间的关系如何？
2. C2行为在11月下旬如何变化？
3. 这可能如何影响VexTrio？

对超过450万条DNS查询的分析显示，存在两个不同的C2服务器集合。尽管所有这些在操作变更之前都导向VexTrio，但两个C2集合使用不同的托管、重定向到不同的域，并利用单独的URL格式。

C2行为变化

尽管托管和重定向独立，但两个DNS TXT C2服务器集合以相同的方式改变了行为，尽管时间略有不同。图3显示了访问受感染网站的访问者随时间被引导到恶意内容的方式。

图3显示，在Los Pollos宣布推送链接变现将停止后，两个C2服务器改变了DNS TXT响应，将受害者直接或间接发送到Help TDS。一个集合（包括data-cheklo[.]world）在11月22日至12月6日期间停止响应。后来在提供商Iron Hosting的新服务器46[.]30[.]45[.]27上看到。第二个C2也改变了托管，但改为Chang Way 185[.]11[.]61[.]37。

有一些例外。我们看到了有限的情况，其中Iron Hosting服务器绕过Help TDS，而是直接将受害者重定向到Vane Viper，后者提供恶意软件。此外，GoDaddy研究人员报告了罕见的情况，其中DNS TXT恶意软件将受害者发送到不同的受感染站点，随后重定向到技术支持诈骗。

截至12月下旬，包含data-cheklo[.]world的较小C2集合似乎已被关闭。然而，包含webdmonitor[.]io的较大集合继续将受害者发送到Help TDS和恶意内容，直到2025年5月。

DNS记录显示，两个C2服务器可能由独立组操作，尽管它们在恶意软件和提供的内容上是协调的。GoDaddy报告称，DollyWay恶意软件行为者在11月20日转换为Help TDS，同一天第一个TXT C2服务器集合也这样做了。尽管有独立操作的迹象，但也有明显的协调迹象。

Help TDS的关联

Help TDS在Los Pollos停止推送变现服务后的2024年11月下旬出现在我们的雷达上，但它们自至少2017年11月以来就一直存在于环境中。我们从样本数据中看到，几个TDS随时间相互交互，如图4所示。还存在哪些其他关联？

为了理解Help TDS如何与其他已知威胁行为者交互，我们考虑了过去六年中约10,000次网站交互，这些交互在重定向链中包括Help TDS。访问可能导致诱饵登录页面，如Google或TikTok，但也可能登陆恶意内容。我们使用了扫描中看到的每个重定向，并用我们内部关于DNS行为者的知识丰富了这些数据。图7是超过120,000次URL重定向和所涉及已知实体的总结可视化。

图7说明了VexTrio、Help TDS、News TDS（Push House）以及少数其他广告和TDS运营商在长时间内的交互。我们还看到一些犯罪行为者如Horrid Hawk的交互，他们以域名劫持而闻名。其他我们跟踪但未发布的DNS威胁行为者，其中一些是TDS行为者，也出现在图中。像本分析中发现的长历史关系帮助我们验证了关于TDS关联的理论，并发现了几个新的TDS运营商。

共同代码库

一旦我们通过受感染网站重定向建立了几个TDS之间的联系，我们寻找是否可以用更具体的方式将TDS联系在一起。我们能够通过它们历史使用的脚本、图像和URL结构确定Help、Disposable和VexTrio TDS之间的强关系。

事实证明，Help和Disposable TDS基本上是相同的。自2017年以来的各个时间点：

• 它们都使用了罕见的抽奖诱饵图像，这些图像似乎专属于一个相对较小的威胁行为者群体，包括VexTrio。
• 它们的服务器都托管了VexTrio专属的JavaScript，这些对其抽奖诈骗的功能至关重要。
• 它们都使用了相同的URL结构和参数名称。

在其大部分历史中，Help TDS作为一个简单的重定向器运行，如Keitaro。然而，我们确实发现证据表明，几年前TDS域同时用于提供诱饵页面。回溯到2019年，我们发现了许多Help TDS和Disposable TDS直接提供抽奖诈骗内容的实例。这包括罕见的诱饵图像，这些图像似乎仅由一小部分实体使用，包括VexTrio（见图8）。

提供抽奖内容的网站甚至显示了两个TDS之间相同的URL结构和参数名称。这表明两个系统都在使用共同的技术。图9显示了两个TDS用于向网络访问者提供诈骗的相同URL模式。

结合罕见的诱饵图像，Help和Disposable TDS都执行了两个罕见的JavaScript。VexTrio是我们看到使用这些特定脚本的唯一其他行为者。此外，像VexTrio一样，Help TDS和Disposable TDS直接将脚本托管在它们的服务器上。这意味着它们不仅仅是从远程服务器运行代码，而是完全拥有这些脚本。威胁行为者通常混淆JavaScript以阻碍安全研究人员的分析（见图10的简单解释）。此脚本阻止网络用户在其浏览器历史记录中向后导航（例如，通过单击后退按钮）。相反，用户将在其浏览器中重新加载当前页面，而不是先前访问的页面。

第二个脚本尝试检测受害者何时在没有单击链接或提交诈骗表单的情况下离开当前网页。在这种情况下，脚本将启动确认消息“您即将离开此页面！”，然后在短暂延迟后快速重新加载页面。总体目标可能是阻止或中断用户在没有参与诈骗的情况下离开页面（见图11）。

过去几年，Help TDS将流量重定向到VexTrio，最近重定向到Monetizer。Help TDS有强烈的俄罗斯关联，托管和域名注册经常通过俄罗斯实体完成。它没有VexTrio TDS的全面功能，并且除了与VexTrio的诡异联系外，没有明显的商业联系。另一方面，Help TDS和Disposable TDS被网站恶意软件操作者广泛使用（如果不是排他性地），包括那些运行DNS TXT记录活动和DollyWay的操作者。

TDS资源连接

我们将关系分析扩展到其他显示与VexTrio有不同程度相似性的TDS。TDS运营商在DNS中留下了其公共角色的数字痕迹，我们利用这些信息将几个TDS连接到商业实体，包括News TDS。

这些TDS之间的联系不仅限于受感染站点URL内的重定向；它们还共享几个在互联网上其他地方找不到的罕见工件。在网络钓鱼领域，威胁行为者通常采用其他网络犯罪分子使用的网络钓鱼工具包，因为相对容易将网络钓鱼网络材料上传到网络托管服务并运行功能正常的网站。另一方面，操作高可用性TDS很复杂；它需要更深入的技术栈，如Web服务器集群、Web跟踪系统、实时竞价逻辑、附属支付模型，有时还需要高级DNS配置。虽然网络钓鱼工具包可供出售，但TDS并非如此，我们惊讶地发现多个商业实体之间存在共同的TDS组件。

我们发现了一组由VexTrio TDS和其他几个（包括由商业实体Partners House、BroPush和RichAds运行的TDS）使用的Web资源文件。这些资源是TDS的重要依赖项，如吸引网络用户的诱人图像、用于跟踪的JavaScript或浏览器cookie安装程序。这些文件的稀有性表明这些公司通过合作伙伴关系或共同开发人员共享代码谱系。我们不会公开这些工件的全部细节。

这些文件被大约20个不同的TDS网络使用，尽管它们各自的URL结构、公司所有权或托管几乎没有重叠。表3描述了