تراخيص الأجهزة المتعددة (خصومات كبيرة)
Threat Database Advanced Persistent Threat (APT) APT31 / الزركونيوم

APT31 / الزركونيوم

بواسطة Basete في Advanced Persistent Threat (APT)
ترجمة الى:
العربية

APT31 هي مجموعة التهديدات المستمرة المتقدمة مع التركيز على سرقة الملكية الفكرية والإعلان السيئ. تسمى هذه المجموعة أيضًا الزركونيوم ، و Judgment Panda ، و Bronze Vinewood من قبل منظمات أمنية مختلفة. كما هو الحال مع معظم مجموعات APT الأخرى ، هناك شكوك في أن APT31 قد تكون برعاية الدولة وفي هذه الحالة الدولة المشتبه بها هي الصين. في صيف عام 2020 ، اقترحت مجموعة تحليل التهديدات من Google أن APT31 كانت تستهدف الحملة الرئاسية لجو بايدن برسائل البريد الإلكتروني للتصيد الاحتيالي.

عملية إعادة التوجيه القسري لـ APT31

في عام 2017 ، كان APT31 يدير أكبر عملية إعلان خبيث. أنشأت المجموعة ما لا يقل عن 28 شركة إعلانات وهمية. وفقًا لـ Confiant ، اشترى Zirconium ما يقرب من مليار مشاهدة إعلان وتمكن من الحصول على 62 ٪ من جميع مواقع الويب التي يتم استثمارها. كان ناقل الهجوم الرئيسي APT31 المستخدم هو إعادة التوجيه القسري. تحدث إعادة التوجيه الإجبارية عندما تتم إعادة توجيه شخص ما يتصفح موقع ويب إلى موقع ويب آخر دون أن يتخذ المستخدم أي إجراء. يتم استخدام موقع الويب الذي ينتهي به المستخدم بشكل شائع كجزء من عملية احتيال أو يؤدي إلى إصابة بالبرامج الضارة.

myadsbro apt31
لقطة شاشة الصفحة الرئيسية لـ MyAdsBro - المصدر: مدونة Confiant.com

قامت APT31 بإنشاء واستخدام Beginads ، وهي وكالة إعلانية مزيفة ، لإقامة علاقات مع منصات إعلانية. في نهاية المطاف ، أصبح المجال الذي سيستخدمه Zirconium لتوجيه حركة المرور لجميع حملات جميع وكالاتهم المزيفة. عملت APT31 بجد للتأكد من أن لديهم علاقات تبدو مشروعة مع عدد من منصات الإعلانات الحقيقية. أعطى هذا النهج أيضًا للمخطط بعض المرونة وجعله أقل احتمالية لإثارة الشكوك. أعادت APT31 أيضًا بيع حركة المرور لمنصات التسويق التابعة لها. هذا الترتيب يعني أن APT31 لم يكن مضطرًا لتشغيل الصفحات المقصودة بمفردها. ذهب المجرمون الإلكترونيون إلى أبعد من ذلك ، وأنشأوا شبكة تابعة يديرونها بأنفسهم. كانت الشبكة تسمى MyAdsBro. اعتاد APT31 تشغيل حملاتهم الخاصة من خلال MyAdsBro ولكن يمكن للآخرين أيضًا دفع حركة المرور إلى MyAdsBro مقابل عمولة.

صفحة العملاء myadsbro
لقطة شاشة لوحة الويب الخاصة بالعميل - المصدر: مدونة Confiant.com

بمجرد حدوث عمليات إعادة التوجيه ، تم إغراء المستخدمين لتمكين العدوى من خلال بعض الأساليب الأكثر شيوعًا:

  • النوافذ المنبثقة الزائفة لتحديث Adobe Flash Player
  • النوافذ المنبثقة الزائفة لمكافحة الفيروسات
  • الرسائل الخادعة للدعم الفني
  • رسائل ترواري مختلفة

لقد بذلت APT31 قصارى جهدها عند إنشاء مخططهم وجعله يبدو مشروعًا. جميع الوكالات المزيفة لديها مواد تسويقية مختلفة ، وضباط مزيفون لهم ملفات شخصية في وسائل التواصل الاجتماعي ، وحتى منشورات في وسائل الإعلام المذكورة ذات محتوى فريد. تم إطلاق معظم شركات الزركونيوم ذات الإنتاج الضخم في ربيع عام 2017. لم يتم استخدام جميع الشركات الـ 28 حيث لم يبدأ 8 منهم وجودهم على وسائل التواصل الاجتماعي ولم يشاركوا في أي أنشطة إعلانية . من الواضح أن جهود مجرمي الإنترنت كانت ناجحة. تمكنت وكالات APT31 المزيفة من إنشاء علاقات تجارية مباشرة مع 16 منصة إعلانية حقيقية.

تمت إعادة توجيه جزء صغير فقط من حركة المرور إلى حمولة فعلية. من أجل تجنب الكشف والتحليل ، استخدم الزركونيوم طرق التملص. استخدمت APT31 تقنية تسمى بصمات الأصابع. إنها عملية يقوم فيها مجرمو الإنترنت بجمع معلومات حول أنظمة الضحايا المحتملين لاستهداف جزء معين من الجمهور بدقة أكبر. هدف مجرمي الإنترنت عند استخدام بصمات الأصابع هو تجنب الكشف. لهذا الغرض ، سيستخدمون JavaScript في المتصفح لمحاولة التأكد مما إذا كان البرنامج النصي يعمل مقابل ماسح ضوئي أمني. إذا تم الكشف عن علامات الماسح الضوئي ، فلن يتم تسليم الحمولة. هناك مخاطر مرتبطة ببصمات الأصابع. البرنامج النصي مرئي لأي شخص يبحث عنه وقد يثير ذلك الشك ، لكن بصمات الأصابع تسمح بعدد أكبر من عمليات نشر الحمولة.

تستفيد APT31 من تكتيكاتها المخادعة

هناك طرق أخرى لتجنب الاكتشاف لا تتضمن تشغيل برنامج نصي من جانب المستخدم. يمكن أن تكون آليات جانب الخادم أكثر أمانًا للتطبيق نظرًا لأن الباحث الأمني لن يكون قادرًا على تحليلها ما لم يتم تشغيلها. أحد هذه الأساليب هو التحقق مما إذا كان عنوان IP الخاص بالمستخدم هو عنوان IP لمركز البيانات. غالبًا ما تستخدم الماسحات الضوئية عناوين IP الخاصة بمركز البيانات وسيكون اكتشاف عنوان IP هذا بمثابة علامة واضحة على عدم نشر الحمولة.

على الرغم من الحجم الهائل لعملية الإعلان الخبيث لـ APT31 ، لا يزال الباحثون الأمنيون يحددون تركيزهم الرئيسي على سرقة الملكية الفكرية. لا يزال النطاق الحقيقي لجميع عمليات الزركونيوم مجهولاً وكذلك احتمال تسببها في إلحاق الضرر.

الشائع

"YouPorn" احتيال البريد الإلكتروني

Spam
بعد فحص شامل لرسائل البريد الإلكتروني الخاصة بـ "YouPorn"، أكد خبراء الأمن السيبراني طبيعتها الاحتيالية. تعد رسائل البريد الإلكتروني هذه جزءًا من أشكال مختلفة من البريد العشوائي، وكلها تشبه أساليب الابتزاز الجنسي. القاسم المشترك بين رسائل البريد الإلكتروني الخادعة هذه هو التأكيد الملفق على أن المستلم متورط في مواد جنسية صريحة تم نشرها مؤخرًا على موقع YouPorn. تقدم رسائل البريد الإلكتروني بعد...

الأكثر مشاهدة

احتيال البريد الإلكتروني "Geek Squad"

Phishing, Spam
14,963
أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
جار التحميل...