APT31/Zirconium

APT31 គឺជាក្រុម Advanced Persistent Threat ដែលផ្តោតលើការលួចកម្មសិទ្ធិបញ្ញា និងការផ្សាយពាណិជ្ជកម្មមិនត្រឹមត្រូវ។ ក្រុមនេះត្រូវបានគេហៅថា Zirconium, Judgment Panda, និង Bronze Vinewood ដោយអង្គការសន្តិសុខផ្សេងៗគ្នា។ ដូចទៅនឹងក្រុម APT ផ្សេងទៀតដែរ មានការសង្ស័យថា APT31 អាចនឹងត្រូវបានឧបត្ថម្ភដោយរដ្ឋ ហើយក្នុងករណីនេះរដ្ឋដែលសង្ស័យគឺប្រទេសចិន។ នៅរដូវក្តៅឆ្នាំ 2020 ក្រុមវិភាគការគំរាមកំហែងរបស់ Google បានស្នើថា APT31 កំពុងកំណត់គោលដៅយុទ្ធនាការប្រធានាធិបតីរបស់លោក Joe Biden ជាមួយនឹងអ៊ីមែលបន្លំ។

ថ្មីៗនេះ TAG បានឃើញក្រុម APT របស់ចិនផ្តោតលើបុគ្គលិកយុទ្ធនាការ Biden និងអ៊ីរ៉ង់ APT ផ្តោតលើបុគ្គលិកយុទ្ធនាការ Trump ជាមួយនឹងការបន្លំ។ មិនមានសញ្ញានៃការសម្របសម្រួលទេ។ យើង​បាន​ផ្ញើ​ការ​ព្រមាន​អំពី​ការ​វាយ​ប្រហារ​របស់​រដ្ឋាភិបាល​ដល់​អ្នក​ប្រើ ហើយ​យើង​បាន​យោង​ទៅ​លើ​ការ​អនុវត្ត​ច្បាប់​របស់ Fed។ https://t.co/ozlRL4SwhG

— Shane Huntley (@ShaneHuntley) ថ្ងៃទី 4 ខែមិថុនា ឆ្នាំ 2020

ដំណើរការប្តូរទិសដោយបង្ខំរបស់ APT31

ត្រលប់ទៅឆ្នាំ 2017 APT31 កំពុងដំណើរការប្រតិបត្តិការ malvertising ដ៏ធំបំផុត។ ក្រុមនេះបានបង្កើតក្រុមហ៊ុនផ្សាយពាណិជ្ជកម្មក្លែងក្លាយមិនតិចជាង 28 ទេ។ យោងតាម Confiant Zirconium បានទិញការមើលផ្សាយពាណិជ្ជកម្មប្រហែល 1 ពាន់លានដង ហើយបានគ្រប់គ្រងលើ 62% នៃគេហទំព័រដែលរកប្រាក់ពីពាណិជ្ជកម្មទាំងអស់។ វ៉ិចទ័រវាយប្រហារសំខាន់ APT31 ដែលប្រើគឺការបញ្ជូនបន្តដោយបង្ខំ។ ការបញ្ជូនបន្តដោយបង្ខំកើតឡើងនៅពេលដែលនរណាម្នាក់រុករកគេហទំព័រមួយត្រូវបានបញ្ជូនបន្តទៅកាន់គេហទំព័រមួយផ្សេងទៀតដោយមិនមានអ្នកប្រើប្រាស់ធ្វើសកម្មភាពណាមួយឡើយ។ គេហទំព័រដែលអ្នកប្រើប្រាស់បញ្ចប់គឺត្រូវបានប្រើប្រាស់ជាទូទៅជាផ្នែកមួយនៃការបោកប្រាស់ ឬនាំទៅរកការឆ្លងមេរោគ។

រូបថតអេក្រង់គេហទំព័រ MyAdsBro - ប្រភព៖ ប្លុក Confiant.com

APT31 បានបង្កើត និងប្រើប្រាស់ Beginads ដែលជាភ្នាក់ងារផ្សាយពាណិជ្ជកម្មក្លែងក្លាយ ដើម្បីបង្កើតទំនាក់ទំនងជាមួយវេទិកាផ្សាយពាណិជ្ជកម្ម។ ចុះក្រោម វាបានក្លាយជាដែន Zirconium នឹងប្រើដើម្បីដឹកនាំចរាចរណ៍សម្រាប់យុទ្ធនាការទាំងអស់នៃភ្នាក់ងារក្លែងក្លាយទាំងអស់របស់ពួកគេ។ APT31 បានខិតខំប្រឹងប្រែងដើម្បីធ្វើឱ្យប្រាកដថាពួកគេមានទំនាក់ទំនងដែលមើលទៅស្របច្បាប់ជាមួយនឹងវេទិកាផ្សាយពាណិជ្ជកម្មពិតប្រាកដមួយចំនួន។ វិធីសាស្រ្តនេះក៏បានផ្តល់ឱ្យគ្រោងការណ៍នូវភាពធន់និងធ្វើឱ្យវាមិនសូវមានលទ្ធភាពបង្កើនការសង្ស័យ។ APT31 ក៏បានលក់ចរាចរទៅកាន់វេទិកាទីផ្សារដែលពាក់ព័ន្ធផងដែរ។ ការរៀបចំនេះមានន័យថា APT31 មិនចាំបាច់ដំណើរការទំព័រចុះចតដោយខ្លួនឯងទេ។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបានបន្តទៅទៀត ដោយបង្កើតបណ្តាញសម្ព័ន្ធមួយ ដែលខ្លួនពួកគេដំណើរការ។ បណ្តាញនេះត្រូវបានគេហៅថា MyAdsBro ។ APT31 ធ្លាប់ដំណើរការយុទ្ធនាការផ្ទាល់ខ្លួនរបស់ពួកគេតាមរយៈ MyAdsBro ប៉ុន្តែអ្នកផ្សេងទៀតក៏អាចជំរុញចរាចរទៅកាន់ MyAdsBro សម្រាប់កម្រៃជើងសារផងដែរ។

រូបថតអេក្រង់បន្ទះបណ្តាញអតិថិជន - ប្រភព៖ ប្លុក Confiant.com

នៅពេលដែលការបញ្ជូនបន្តបានកើតឡើង អ្នកប្រើប្រាស់ត្រូវបានទាក់ទាញឱ្យបើកការឆ្លងតាមរយៈវិធីសាស្ត្រដ៏ពេញនិយមបំផុតមួយចំនួន៖

• ការអាប់ដេត Adobe Flash Player ក្លែងក្លាយ
• ការលេចឡើងកំចាត់មេរោគក្លែងក្លាយ
• បច្ចេកវិទ្យាគាំទ្រការបោកប្រាស់
• សារ scareware ផ្សេងៗ

APT31 បានឈានដល់ដំណាក់កាលដ៏អស្ចារ្យនៅពេលបង្កើតគ្រោងការណ៍របស់ពួកគេ និងធ្វើឱ្យវាមើលទៅស្របច្បាប់។ ភ្នាក់ងារក្លែងក្លាយទាំងអស់មានសម្ភារៈទីផ្សារផ្សេងៗ មន្ត្រីក្លែងក្លាយដែលមានប្រវត្តិរូបនៅក្នុងប្រព័ន្ធផ្សព្វផ្សាយសង្គម និងសូម្បីតែការបង្ហោះនៅក្នុងប្រព័ន្ធផ្សព្វផ្សាយដែលមានខ្លឹមសារប្លែកៗ។ ក្រុមហ៊ុនដែលផលិតយ៉ាងច្រើនរបស់ Zirconium បានបើកដំណើរការនៅនិទាឃរដូវឆ្នាំ 2017។ មិនមែនក្រុមហ៊ុនទាំង 28 ទាំងអស់ត្រូវបានគេប្រើទេ ព្រោះថា 8 ក្នុងចំណោមក្រុមហ៊ុនទាំងនោះមិនដែលចាប់ផ្តើមវត្តមានប្រព័ន្ធផ្សព្វផ្សាយសង្គមរបស់ពួកគេ និងមិនបានចូលរួមក្នុង សកម្មភាពផ្សាយពាណិជ្ជកម្ម ណាមួយឡើយ។ ការខិតខំប្រឹងប្រែងរបស់ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបានទទួលជោគជ័យយ៉ាងច្បាស់។ ភ្នាក់ងារក្លែងក្លាយរបស់ APT31 បានគ្រប់គ្រងដើម្បីបង្កើតទំនាក់ទំនងអាជីវកម្មដោយផ្ទាល់ជាមួយវេទិកាផ្សាយពាណិជ្ជកម្មពិតប្រាកដចំនួន 16 ។

មានតែផ្នែកតូចមួយនៃចរាចរដែលពួកគេត្រូវបានបញ្ជូនបន្តទៅបន្ទុកជាក់ស្តែង។ ដើម្បីជៀសវាងការរកឃើញនិងការវិភាគ Zirconium បានប្រើវិធីសាស្រ្តគេច។ APT31 ប្រើបច្ចេកទេសមួយហៅថា fingerprinting។ វាជាដំណើរការមួយដែលឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតប្រមូលព័ត៌មានអំពីប្រព័ន្ធនៃជនរងគ្រោះដែលមានសក្តានុពល ដើម្បីកំណត់គោលដៅជាក់លាក់នៃទស្សនិកជនឱ្យកាន់តែច្បាស់លាស់។ គោលដៅ​របស់​ឧក្រិដ្ឋជន​តាម​អ៊ីនធឺណិត​ពេល​ប្រើ​ការ​ស្កេន​ក្រយៅដៃ​គឺ​ដើម្បី​ជៀសវាង​ការ​រក​ឃើញ។ សម្រាប់គោលបំណងនោះ ពួកគេនឹងប្រើ JavaScript នៅក្នុងកម្មវិធីរុករកតាមអ៊ីនធឺណិត ដើម្បីព្យាយាម និងបញ្ជាក់ថាតើស្គ្រីបកំពុងដំណើរការប្រឆាំងនឹងម៉ាស៊ីនស្កេនសុវត្ថិភាពដែរឬទេ។ ប្រសិនបើសញ្ញានៃម៉ាស៊ីនស្កេនត្រូវបានរកឃើញ បន្ទុកនឹងមិនត្រូវបានបញ្ជូនទេ។ មានហានិភ័យទាក់ទងនឹងការស្កេនម្រាមដៃ។ ស្គ្រីបនេះអាចមើលឃើញដោយនរណាម្នាក់ដែលកំពុងស្វែងរក ហើយវាអាចបង្កើនការសង្ស័យ ប៉ុន្តែការបោះពុម្ពស្នាមម្រាមដៃអនុញ្ញាតឱ្យមានការកើនឡើងនៃចំនួននៃការដាក់ពង្រាយបន្ទុក។

APT31 ប្រើល្បិចកលល្បិចរបស់ខ្លួន។

មានវិធីផ្សេងទៀតដើម្បីគេចពីការរកឃើញ ដែលមិនពាក់ព័ន្ធនឹងការដំណើរការស្គ្រីបនៅខាងអ្នកប្រើប្រាស់។ យន្តការផ្នែកខាងម៉ាស៊ីនមេអាចមានសុវត្ថិភាពជាងមុនក្នុងការអនុវត្ត ដោយសារអ្នកស្រាវជ្រាវសុវត្ថិភាពនឹងមិនអាចវិភាគពួកវាបានទេ លុះត្រាតែពួកគេចាប់ផ្តើម។ វិធីសាស្រ្តមួយគឺពិនិត្យមើលថាតើ IP របស់អ្នកប្រើជា IP មជ្ឈមណ្ឌលទិន្នន័យឬអត់។ ម៉ាស៊ីនស្កេនជាញឹកញាប់ប្រើ IPs មជ្ឈមណ្ឌលទិន្នន័យ ហើយការរកឃើញ IP បែបនេះនឹងក្លាយជាសញ្ញាច្បាស់លាស់ក្នុងការមិនដាក់ពង្រាយ payload ។

ទោះបីជាមានមាត្រដ្ឋានគួរឱ្យចាប់អារម្មណ៍នៃប្រតិបត្តិការមិនប្រក្រតីរបស់ APT31 ក៏ដោយ អ្នកស្រាវជ្រាវសន្តិសុខនៅតែកំណត់អត្តសញ្ញាណចម្បងរបស់ពួកគេគឺការលួចកម្មសិទ្ធិបញ្ញា។ វិសាលភាពពិតប្រាកដនៃប្រតិបត្តិការទាំងអស់របស់ Zirconium នៅតែមិនទាន់ដឹងនៅឡើយ ដោយសារសក្តានុពលរបស់ពួកគេក្នុងការបង្កគ្រោះថ្នាក់។