APT31/Цирконий

APT31 е група за напреднали постоянни заплахи с фокус върху кражбата на интелектуална собственост и злоупотребата. Тази група се нарича още Zirconium, Judgement Panda и Bronze Vinewood от различни организации за сигурност. Както при повечето други APT групи, има подозрения, че APT31 може да бъде спонсориран от държавата и в този случай заподозряната държава е Китай. През лятото на 2020 г. Google Threat Analysis Group предположи, че APT31 е насочена към президентската кампания на Джо Байдън с фишинг имейли.

Процесът на принудително пренасочване на APT31

Още през 2017 г. APT31 провеждаше най-голямата операция за злонамерено рекламиране. Групата е създала не по-малко от 28 фалшиви рекламни компании. Според Confiant, Zirconium е купил приблизително 1 милиард показвания на реклами и е успял да влезе в 62% от всички уебсайтове, получаващи приходи от реклами. Основният използван вектор на атака APT31 беше принудителното пренасочване. Принудителното пренасочване възниква, когато някой, който разглежда уебсайт, е пренасочен към друг уебсайт, без потребителят да предприеме каквото и да било действие. Уебсайтът, на който потребителят попада, обикновено се използва като част от измама или води до заразяване със злонамерен софтуер.

начална страница на myadsbro apt31
Екранна снимка на началната страница на MyAdsBro - източник: блог на Confiant.com

APT31 създаде и използва Beginads, фалшива рекламна агенция, за да установи връзки с рекламни платформи. Надолу по линията той се превърна в домейн, който Zirconium ще използва за насочване на трафик за всички кампании на всичките им фалшиви агенции. APT31 работи усилено, за да се увери, че имат законно изглеждащи взаимоотношения с редица реални рекламни платформи. Този подход също така даде на схемата известна устойчивост и направи по-малко вероятно да предизвика подозрения. APT31 също препродава трафик към партньорски маркетингови платформи. Това подреждане означаваше, че APT31 не трябва да управлява целевите страници самостоятелно. Киберпрестъпниците отидоха по-далеч , създавайки партньорска мрежа, която те самите управляваха. Мрежата се наричаше MyAdsBro. APT31 провеждаше свои собствени кампании чрез MyAdsBro, но други също можеха да насочват трафик към MyAdsBro срещу комисионна.

клиентска страница на myadsbro
Екранна снимка на уеб панела на клиента - източник: блог на Confiant.com

След като пренасочванията се осъществиха, потребителите бяха привлечени да активират инфекцията чрез някои от най-популярните тактики:

  • Фалшиви изскачащи прозорци за актуализация на Adobe Flash Player
  • Фалшиви антивирусни изскачащи прозорци
  • Измами с техническа поддръжка
  • Различни плашещи съобщения

APT31 положи много усилия, когато създаде своята схема и я направи да изглежда легитимна. Всички фалшиви агенции имаха различни маркетингови материали, фалшиви служители с профили в социалните медии и дори публикации в споменатите медии с уникално съдържание. Повечето от масово произвежданите компании на Цирконий стартираха през пролетта на 2017 г. Не всички от 28-те бяха използвани, тъй като 8 от тях никога не са започнали присъствието си в социалните медии и не са се включили в никакви рекламни дейности . Усилията на киберпрестъпника бяха очевидно успешни. Фалшивите агенции на APT31 успяха да създадат директни бизнес отношения с 16 реални рекламни платформи.

Само малка част от трафика те бяха пренасочени към действителен полезен товар. За да избегне откриване и анализ, Цирконий използва методи за избягване. APT31 използва техника, наречена пръстови отпечатъци. Това е процес, при който киберпрестъпниците събират информация за системите на потенциалните жертви, за да се насочат по-точно към определена част от аудиторията. Целта на киберпрестъпниците при използване на пръстови отпечатъци е да избегнат разкриването. За тази цел те биха използвали JavaScript в браузъра, за да се опитат да установят дали скриптът работи срещу скенер за сигурност. Ако бъдат открити признаци на скенер, полезният товар няма да бъде доставен. Има риск, свързан със снемането на пръстови отпечатъци. Скриптът е видим за всеки, който го търси и това може да породи подозрение, но пръстовите отпечатъци позволяват по-голям брой разгръщания на полезния товар.

APT31 използва своите подли тактики

Има и други начини за избягване на откриването, които не включват стартиране на скрипт от страна на потребителя. Механизмите от страна на сървъра могат да бъдат по-безопасни за прилагане, тъй като изследователят по сигурността няма да може да ги анализира, освен ако не се задействат. Един такъв подход е да се провери дали IP адресът на потребителя е IP на центъра за данни. Скенерите често използват IP адреси на центрове за данни и откриването на такъв IP би било ясен знак да не разгръщате полезния товар.

Въпреки впечатляващия мащаб на злоупотребяващата операция на APT31, изследователите по сигурността все още определят основния си фокус като кражба на интелектуална собственост. Истинският обхват на всички операции на Цирконий все още е неизвестен, както и потенциалът им да навредят.

Тенденция

Най-гледан

Зареждане...