網路安全公司Infoblox聯合Guardio和Confiant發布的最新技術報告揭露,名為Vane Viper(又稱Omnatuor)的威脅組織已營運惡意廣告技術(adtech)網路超過十年,透過複雜的空殼公司架構和模糊的所有權結構來規避責任追究。
驚人的攻擊規模
根據Infoblox的統計資料,Vane Viper在過去一年中產生了約1兆次DNS查詢,涵蓋該公司約半數客戶網路。這個威脅組織利用數十萬個被入侵的網站和惡意廣告,將毫無防備的網站使用者重新導向至惡意瀏覽器擴充功能、虛假購物網站、成人內容、詐騙調查、假冒應用程式、可疑軟體下載以及惡意軟體,其中甚至包括名為Triada的Android惡意軟體。
該威脅組織的基礎設施包含約60,000個網域,其中大多數僅維持活動狀態不到一個月。然而,也有少數網域已持續活動超過1,200天,包括原始的omnatuor[.]com、propeller-tracking[.]com以及數個圍繞推播通知服務的網域。
Vane Viper每月註冊大量新網域的規模龐大。該組織在2024年10月單月就註冊了3,500個網域,相較於2023年4月不到500個網域的註冊量,呈現大幅成長。根據統計,自2023年以來,Vane Viper網域佔URL Solutions大量註冊網域的近50%。
持續性攻擊技術
Vane Viper採用的一項持續性攻擊技術是濫用推播通知權限。即使使用者已離開初始頁面,該組織仍能透過修改瀏覽器設定來持續提供廣告。這種手法依賴服務工作者(service workers)技術,維持持續的無頭瀏覽器程序來監聽事件並發送不需要的通知。
去年底,Guardio Labs揭露了一個名為DeceptionAds的攻擊活動,該活動利用Vane Viper的惡意廣告網路來實現
ClickFix的社交工程攻擊。這項活動被歸因於一家名為Monetag的公司。
根據Infoblox的調查,Monetag是PropellerAds的子公司,而PropellerAds是一家商業廣告技術公司,同時也是位於塞浦路斯的控股公司AdTech Holding的子公司。與PropellerAds相關的網域長期以來一直因促進惡意廣告活動和將流量導向攻擊工具包或其他詐欺網站而被標記。
進一步分析發現,有證據顯示多個廣告詐欺活動源自於歸屬於PropellerAds的基礎設施。Vane Viper似乎與URL Solutions(又稱Pananames)、Webzilla和XBT Holdings共享基礎設施和人員關係,其中URL Solutions還與俄羅斯影響行動Doppelgänger建立的假訊息網站有關聯。
AdTech Holding旗下的其他公司包括ProPushMe、Zeydoo、Notix和Adex等。
研究人員發現,Vane Viper隱藏在作為廣告網路營運的合理推諉性背後,同時利用其流量分發系統(TDS)來傳遞多種類型的威脅。這種雙重性質使得該組織能夠在合法商業活動的掩護下進行惡意活動,增加了執法部門追查的難度。
惡意廣告與威脅散佈
報告指出,Vane Viper不僅為惡意軟體投放者和網路釣魚攻擊者提供流量仲介服務,似乎還經營自己的攻擊活動,這與先前記錄的廣告詐欺技術相符。該威脅組織利用易受攻擊的WordPress網站建立大規模的受損網域網路,並使用這些網域來散佈風險軟體、間諜軟體和廣告軟體。
這種作法類似於先前發現的VexTrio Viper惡意廣告網路,都是透過入侵合法網站來建立龐大的惡意基礎設施。
面對指控,PropellerAds先前曾否認任何不當行為,聲稱公司「只不過是一個自動化中介機構,幫助廣告主找到最佳發布商來發布廣告」,並表示「不認可、支持或鼓勵其網路上的任何惡意廣告」。
然而,Infoblox在報告中明確指出:「Vane Viper已不再是單純躲藏在廣告技術平台後方的威脅組織,而是直接以威脅行為者的身分經營廣告技術平台。儘管AdTech Holding聲稱為廣告主提供大規模的市場觸及和營收變現服務,實際上卻是在散布各種網路風險。」
這起案例凸顯了現代數位廣告生態系統中的重大安全風險。當合法的廣告技術基礎設施被惡意利用時,傳統的安全防護措施往往難以有效識別和阻止此類威脅。企業和使用者面臨的挑戰在於,這些惡意活動往往藏身於看似正常的商業廣告服務之中。
本文轉載自thehackernews。