Vextrio Viper Groupによってハッキングされた数百のWordPress Webサイトが大規模なTDSサービスを実行する

Vextrioとして知られる洗練されたサイバー犯罪企業は、これまでに文書化された最も広範なWordPress妥協キャンペーンの1つを調整し、世界中で数十万のWebサイトをハイジャックして、被害者を精巧な詐欺ネットワークに注ぎ込む大規模な交通流通システム（TDS）を運営しています。

少なくとも2015年以来アクティブになっているこの悪意のある操作は、サイバー犯罪者が侵害されたWebインフラストラクチャを収益化する方法のパラダイムシフトを表し、合法的なWebサイトを広大な犯罪広告エコシステムの無意識の参加者に変えます。

Vextrioの作戦の範囲は、スイスとチェコの広告技術会社であるLos Pollosが犯罪組織の戦線として活動していたという啓示に続いて明らかになりました。

調査によると、リダイレクトされた訪問者がLos Pollos SmartLinksを介してトラフィックをVextrioにチャネリングし、多様性に影響を与えている妥協したWebサイトのほぼ40％が示されています。 マルウェア Balada、Dollyway、Sign1 Operationsなどのキャンペーン。

これらの妥協は何年も続いており、2019年5月に遡るいくつかのアフィリエイト関係があり、Vextrioの犯罪インフラストラクチャの顕著な寿命と安定性を示しています。

Infobloxアナリスト 識別されます WordPressマルウェアアクターと悪意のある広告テクノロジーの複雑な関係は、6か月にわたる450万人以上のDNSクエリの包括的な分析を通じて。

研究者たちは、Los Pollosが2024年11月17日にプッシュ収益化サービスの停止を発表したことを発見しました。

犯罪企業は、正当なマーケティングサービスとサイバー犯罪の間の境界線を曖昧にするアフィリエイト広告ネットワークの複雑なウェブを通じて運営されています。

Vextrioは、Los Pollos、Taco Loco、Adtraficoを含む複数のエンティティを管理しており、それぞれがより大きなエコシステム内で異なる機能を提供しています。

これらの企業は、被害者に提供される悪意のあるコンテンツを作成するウェブサイトと広告関連会社を妥協する出版関連会社の両方を募集し、10年近くで参加者にかなりの利益を生み出してきた自立した犯罪経済を作成します。

DNS TXTレコードコマンドおよびコントロールインフラストラクチャ

Vextrioの操作の最も洗練された側面の1つは、DNS TXTレコードのコマンドおよび制御メカニズムとしての乱用を含み、インターネットの基本的な命名システムをマルウェア操作のための秘密の通信チャネルに変換します。

2023年8月にセキュリティ研究者によって最初に文書化されたこの手法は、信頼できる性質を活用するマルウェアインフラストラクチャ設計の重要な進化を表しています。 DNS通信 検出を回避します。

マルウェアキャンペーンは、DNS TXTレコードを利用して、侵害されたウェブサイトの訪問者を悪意のあるコンテンツに誘導するbase64フォーマットURLをエンコードします。

被害者が感染したWordPressサイトにアクセスすると、悪意のあるスクリプトは攻撃者によって制御された特定のDNSドメインを自動的に照会し、正当なDNSトラフィックとして表示されるエンコードされたリダイレクト命令を取得します ネットワーク監視 システム。

DNSクエリ自体には、ホスト名に埋め込まれたWebサイト訪問者に関するエンコードされた情報が含まれているため、コマンドとコントロールサーバーは、地理的場所、ブラウザータイプ、紹介ソースなどの被害者の特性に基づいて応答を調整できます。

コマンドおよびコントロールインフラストラクチャの分析により、2つの異なる運用クラスターが明らかになり、それぞれが個別のホスティング配置とURLのフォーマット条約を維持しながら、最終的に同じ犯罪目的地にトラフィックを向けました。

最初のクラスターは、次のようなドメインを使用しました cndatalos[.]com そして data-cheklo[.]world IPアドレスでホストされています 46[.]30[.]45[.]27 そして 65[.]108[.]195[.]250、2番目のクラスターはドメインを使用しました webdmonitor[.]io そして logs-web[.]com を含むインフラストラクチャについて 185[.]11[.]61[.]37 そして 185[.]234[.]216[.]54。

このDNSベースのコマンドおよび制御システムの洗練は、単純なURLリダイレクトを超えて拡張され、侵害されたWebサイトでマルウェアを更新せずにオペレーターがリアルタイムでキャンペーン行動を変更できるようにする動的な応答機能を組み込みます。

このアーキテクチャのアプローチは、維持中に前例のない運用上の柔軟性を提供します 持続性 障害のある悪意のあるプラグインを検出および再アクティブ化する自動監視システムを通じて、ウェブサイト管理者とセキュリティチームにとって完全な修復が特に困難になります。

すべてのエンドポイントにわたって悪意のあるIPSをアラートおよびブロックするために、any.runのTiフィードで脅威応答を自動化する – > フルアクセスを要求します