Vane Viper 生成 1 万亿次 DNS 查询，为全球恶意软件和广告欺诈网络提供支持

被称为Vane Viper的威胁行为者被曝光为恶意广告技术 (adtech) 的供应商，同时依靠错综复杂的空壳公司网络和不透明的所有权结构来故意逃避责任。

Infoblox在上周与 Guardio 和 Confiant 合作发布的技术报告中表示： “Vane Viper 至少十年来一直为广泛的恶意广告、广告欺诈和网络威胁扩散提供核心基础设施。”

Vane Viper 不仅为恶意软件投放者和网络钓鱼者提供流量中介服务，而且似乎还开展自己的活动，这与之前记录的广告欺诈技术一致。

Vane Viper，也称为Omnatuor，此前曾于 2022 年 8 月被 DNS 威胁情报公司记录在案，将其描述为类似于VexTrio Viper的恶意广告网络，它利用易受攻击的 WordPress 网站构建庞大的受感染域网络，并利用它们传播风险软件、间谍软件和广告软件。

DFIR 保留服务
威胁行为者持久化技术的一个显著特点是滥用推送通知权限，即使用户通过更改浏览器设置离开初始页面后，仍会继续投放广告。这种方法依赖于服务工作线程 (Service Worker)，它会维护一个持久的无头浏览器进程来监听事件并提供不必要的通知。

去年年底，Guardio Labs 曝光了一项名为DeceptionAds的恶意活动，该活动被发现利用 Vane Viper 的恶意广告网络来实施类似 ClickFix 的社会工程攻击。该活动被归咎于一家名为 Monetag 的公司。据 Infoblox 称，该公司是商业广告技术公司PropellerAds的子公司，而 PropellerAds 又是塞浦路斯控股公司 AdTech Holding 的子公司。


长期以来，与 ProperllerAds 关联的域名一直被标记为用于促进恶意广告活动，并为漏洞利用工具包或其他欺诈网站带来流量。进一步的分析发现，有证据表明，多起广告欺诈活动源自 PropellerAds 的基础设施。

这家网络安全公司表示，Vane Viper 在过去一年中在其大约一半的客户网络中进行了约 1 万亿次 DNS 查询，并补充说，威胁行为者利用数十万个受感染的网站和恶意广告，将毫无戒心的网站用户重定向到恶意浏览器扩展、虚假购物网站、成人内容、调查诈骗、虚假应用程序、粗略的软件下载和恶意软件，其中包括一种名为Triada的 Android 恶意软件。

此外，Vane Viper 似乎与 URL Solutions（又名 Pananames）、Webzilla 和 XBT Holdings 共享基础设施和人员关系，前者还与俄罗斯一个名为Doppelgänger的影响力机​​构建立的虚假信息网站有关。AdTech Holding 旗下的其他公司包括 ProPushMe、Zeydoo、Notix 和 Adex。

CIS 构建套件
据评估，Vane Viper 的基础设施中大约有 6 万个域名，其中大多数域名的活跃时间不到一个月。然而，也有一些域名的活跃时间超过 1200 天，包括最初的 omnatuor[.]com、propeller-tracking[.]com 以及其他几个以推送通知服务为中心的域名。

据发现，该组织每月注册大量新域名，仅在 2024 年 10 月份就注册了 3,500 个域名，与 2023 年 4 月注册的不到 500 个域名相比有了显著增长。据该公司称，自 2023 年以来，Vane Viper 域名占通过 URL Solutions 批量注册的域名的近 50%。

然而，PropellerAds此前否认有任何不当行为，称其“只不过是一个自动中介机构，帮助广告商找到最佳发布商来发布他们的广告”，并且“不认可、支持或鼓励其网络上的任何恶意广告”。

Infoblox 指出：“Vane Viper 不仅仅是一个隐藏在广告技术平台背后的威胁行为者，它本身就是一个广告技术平台。AdTech Holding 声称能够为广告商提供大规模的覆盖和盈利能力，但实际上它带来的是风险。”

Vane Viper 伪装成一家广告网络，但实际上却利用其 TDS（流量分配系统）来传播多种威胁。