Vigorish Viper와 관련된 다양한 TDS와 DNS 간의 관계와 사용자의 최종 랜딩 경험 |
동남아시아 전역에서 자금 세탁 및 인신매매와 연계된 중국 조직범죄 조직은 사이버범죄 공급망 전체 스펙트럼을 운영하는 첨단 “기술 제품군”을 활용해 운영을 지휘해 왔습니다.
Infoblox는 소유자 및 유지 관리자를 다음과 같은 이름으로 추적하고 있습니다. 활력이 넘치는 독사과거에 불법 도박 운영 및 돼지 도살 사기와 관련이 있었던 Yabo Group(일명 Yabo Sports)에서 개발했다고 언급했습니다. 2022년 후반에 Kaiyun Sports로 리브랜딩한 후 Ponymuah라는 새로 형성된 다른 단체에 흡수되었습니다.
중국에서 “baowang”(“包网,” 전체 패키지를 의미)으로 마케팅되는 이 제품군은 도메인 이름 시스템(DNS) 구성, 웹사이트 호스팅, 결제 메커니즘, 광고, 모바일 앱과 같은 여러 구성 요소를 포함합니다. 또한 홍콩과 중국에 연결된 인프라에서 수천 개의 도메인 이름과 수많은 브랜드를 호스팅합니다.
이 기업은 가짜 회사나 화이트 라벨 브랜드를 사용하여 유럽 축구 클럽 스폰서십을 확보하고, 이를 “강제력 증폭기”로 사용하여 해당 지역의 불법 도박 사이트를 광고하여 더 많은 베터를 유치하는 데 주력합니다. 2023년 7월, 텔레비전으로 중계되는 축구 경기 중에 베팅 회사 로고가 3,500회나 나타났다고 보고되었습니다.
Yabo, Ponymuah 및 OB(일명 OBGM), DB Gaming, Panda Sports, KM Gaming, Smart King Games(SKG)와 같은 관련 파생 기업은 모두 Vigorish Viper의 광범위한 네트워크에 속해 있으며, 이는 도박 회사의 복잡하고 불분명한 소유권과 조사를 피하기 위해 수행된 힘든 조치를 강조합니다.
영국 축구 클럽만이 이런 스폰서십에 참여한 것은 아닙니다. 조사 결과 인도의 크리켓과 카바디 팀도 Vigorish Viper 브랜드를 광고하기 위해 비슷한 스폰서십 계약을 맺은 것으로 밝혀졌습니다.
Infoblox 연구원 Maël Le Touz, Jacques Portal, Renée Burton, Elena Puga가 The Hacker News에 공유한 포괄적인 보고서에서 “Vigorish Viper는 170,000개가 넘는 활성 도메인 이름으로 구성된 광대한 네트워크를 운영하고 있으며, 정교한 DNS CNAME 트래픽 분산 시스템을 사용하여 탐지 및 법 집행을 피하고 있습니다.”라고 밝혔습니다.
“도박 외에도 Vigorish Viper의 CNAME(트래픽 분배 시스템)은 불법 스트리밍 및 포르노 사이트를 제공합니다. 스트리밍에 사용되는 도메인 중 일부는 Vigorish Viper가 원래 등록이 만료된 후 인수한 오래 등록된 도메인입니다.”
인포블록스의 위협 인텔리전스 부문 부사장인 버튼은 이 위협 요인을 “지금까지 발견된 것 중 가장 정교하고 중요한 디지털 보안 위협 중 하나”라고 설명했습니다.
Vigorish Viper의 스포츠 스폰서십 계획 개요 |
“Vigorish Viper는 DNS CNAME 레코드와 JavaScript를 사용하여 여러 계층의 트래픽 분배 시스템(TDS)으로 복잡한 인프라를 구축했는데, 이로 인해 감지하기가 매우 어렵습니다.” Burton은 성명에서 이렇게 말했습니다. “이러한 시스템은 자체 암호화된 통신과 맞춤 개발된 애플리케이션으로 보완되어 활동이 포착하기 어려울 뿐만 아니라 놀라울 정도로 회복력이 뛰어납니다.”
여기에는 DNS CNAME 레코드를 사용하여 한 도메인에서 다른 도메인으로 트래픽을 리디렉션하는 것이 포함되며, 이 기술은 Savvy Seahorse와 같은 다른 DNS 위협 행위자가 이전에 채택했습니다. 또한 이 시스템은 중국의 주거용, 모바일 및 상업용 IP 주소를 구별할 수 있는 기능을 갖추고 있습니다.
올해 1월 초, 덴마크 스포츠 연구소의 ‘Play the Game’ 이니셔티브는 수십 개의 유럽 축구 클럽과 불법 도박 브랜드 사이의 연관성을 밝혀냈는데, 이는 야보에서 시작되었으며 도박이 금지되어 있고 조직 범죄로 간주되는 중국과 같은 관할권을 표적으로 삼았습니다.
아시아 경마 연맹(ARF)에 따르면, 온라인 범죄는 인신매매와 관련된 오프라인 측면도 지니고 있습니다. 인신매매를 통해 사람들은 고소득 직업을 약속받아 스포츠 베팅 계획을 지원하고 돼지 도살 사기와 기타 암호화폐 사기를 조장하도록 강요받습니다.
ARF가 2023년 10월에 발표한 보고서(PDF)에 따르면 “8~10명으로 구성된 팀으로 운영되는 일부는 라이브 스포츠의 해설자 및 방송사(아마도 해적 스트림)와 협력하여 경기 중에 베팅 웹사이트를 마케팅하는 라이브 채팅 그룹을 홍보합니다.” “다른 사람들은 고객이 베팅을 계속하도록 격려하는 관계 관리자 역할을 하고, 다른 사람들은 직접 고객 모집 담당자 역할을 합니다.”
사용자가 사이트를 방문하고 베팅을 시작하는 사이의 단계 |
Infoblox는 Vigorish Viper에 대한 자체 조사가 단일 변칙 도메인인 kb(.)com에서 비롯되었다고 밝혔습니다. kb(.)com은 중국 네임서버를 사용하는 KB Sports라는 이름의 도박 사이트이며, 이 도메인은 Yabo Sports의 도메인 이름인 yabo(.)com도 호스팅하고 있습니다.
여기서 흥미로운 점은 이 웹사이트가 프랑스와 유럽의 다른 지역에 있는 사용자에게는 지역적으로 차단되어 있지만, 중국 본토와 홍콩, 마카오의 특별행정구에서는 접속이 가능하다는 점입니다.
“이러한 지역 중 하나에서 방문하면 사용자는 다른 도메인으로 리디렉션됩니다. 예를 들어 kb830(.)com”이라고 연구자들은 지적했습니다. “리디렉션 도메인은 시간이 지남에 따라 변경됩니다. 또한 사이트에서 모든 ‘마우스 오른쪽 버튼 클릭’ 기능과 텍스트 선택이 비활성화되어 사이트를 조사하거나 복사하려는 노력이 방해를 받습니다.”
그런 다음 웹사이트 사용자에게는 WeChat Pay, EBpay, Alipay, JD Pay, KOIPay, AstroPay, YunShanFu, UniPay, Net Pay, Fast Pay, NetBank를 사용하여 지불하는 옵션과 함께 정기적으로 베팅에 대한 재정적 인센티브를 홍보하는 광고가 제공됩니다. 베팅은 베팅을 하고, 입금을 관리하고, 맞춤형 암호화된 채팅 앱을 통해 도박꾼과 소통하는 에이전트를 통해 이루어집니다.
DNS 쿼리 로그를 심층적으로 조사한 결과, Vigorish Viper의 활동이 중국을 넘어 전 세계의 사용자를 표적으로 삼고 있다는 증거가 발견되었습니다.
이러한 사이트에 내장된 다른 방어 메커니즘으로는 자동화된 활동의 징후를 주기적으로 확인하고 방문자에게 CAPTCHA 퍼즐을 제공하여 잠재적인 스캐닝 노력을 피하거나 고객 지원에 연락하려고 할 때 사용하는 것 등이 있는데, 이러한 작업은 동남아시아로 인신매매된 실제 사람들이 수행합니다.
그게 전부가 아닙니다. Vigorish Viper의 브랜드 도메인 중 하나를 방문하는 사용자는 IP 주소가 중국에 있고 합법적인지 확인하기 위해 여러 차례의 지문 검사를 거쳐야 사이트에서 베팅할 수 있습니다.
“DNS와 소프트웨어는 Vigorish Viper의 전체 기업을 Yabo Sports 또는 Yabo Group에 연결합니다.”라고 회사는 말했습니다. “그들의 영향력은 수십 개, 아마도 수백 개의 브랜드로 확장되며 동남아시아를 넘어 사용자를 타겟으로 합니다.”
“대규모 도메인 이름, 웹사이트, 관련 애플리케이션과 대중의 눈에 띄는 존재감에도 불구하고, Vigorish Viper는 의미 있는 결과 없이 PRC에서 직접적이고 설명할 수 없는 방식으로 운영되고 있습니다.”