APT31/지르코늄

APT31은 지적 재산 절도 및 악성 광고에 중점을 둔 지능형 지속적 위협 그룹입니다. 이 그룹은 다른 보안 조직에서 지르코늄, 저지먼트 팬더 및 브론즈 바인우드라고도 합니다. 대부분의 다른 APT 그룹과 마찬가지로 APT31이 국가 후원일 수 있다는 의혹이 있으며 이 경우 의심되는 국가는 중국입니다. 2020년 여름 Google Threat Analysis Group은 APT31이 피싱 이메일로 Joe Biden의 대선 캠페인을 노리고 있다고 제안했습니다.

최근 TAG는 피싱으로 바이든 캠프 직원을 표적으로 하는 중국 APT 그룹과 트럼프 캠프 직원을 표적으로 하는 이란 APT를 보았습니다. 타협의 흔적이 없습니다. 우리는 사용자에게 정부 공격 경고를 보내고 연방 법 집행 기관에 회부했습니다. https://t.co/ozlRL4SwhG

— 셰인 헌틀리(@ShaneHuntley) 2020년 6월 4일

APT31의 강제 리디렉션 프로세스

2017년에 APT31은 가장 큰 악성 광고 작업을 실행했습니다. 이 그룹은 28개 이상의 가짜 광고 회사를 만들었습니다. Confiant에 따르면 Zirconium은 약 10억 건의 광고 조회수를 구매했으며 광고로 수익을 창출하는 모든 웹사이트의 62%를 차지했습니다. 사용된 주요 공격 벡터 APT31은 강제 리디렉션이었습니다. 강제 리디렉션은 웹 사이트를 탐색하는 사용자가 사용자가 아무 조치도 취하지 않고 다른 웹 사이트로 리디렉션될 때 발생합니다. 사용자가 방문하는 웹 사이트는 일반적으로 사기의 일부로 사용되거나 맬웨어 감염으로 이어집니다.

MyAdsBro 홈페이지 스크린샷 - 출처: Confiant.com 블로그

APT31은 가짜 광고 대행사인 Beginads를 만들고 사용하여 광고 플랫폼과의 관계를 구축했습니다. 결국 Zirconium이 모든 가짜 대행사의 모든 캠페인에 대한 트래픽을 유도하는 데 사용할 도메인이 되었습니다. APT31은 여러 실제 광고 플랫폼과 합법적으로 보이는 관계를 유지하기 위해 열심히 노력했습니다. 이 접근 방식은 또한 계획에 약간의 탄력성을 부여하고 의심을 제기할 가능성을 줄였습니다. APT31은 또한 제휴 마케팅 플랫폼에 트래픽을 재판매했습니다. 이 배열은 APT31이 자체적으로 랜딩 페이지를 운영할 필요가 없다는 것을 의미했습니다. 사이버 범죄자들은 더 나아가 그들이 운영하는 제휴 네트워크를 만들었습니다. 네트워크 이름은 MyAdsBro입니다. APT31은 MyAdsBro를 통해 자체 캠페인을 운영했지만 다른 회사는 수수료를 받고 MyAdsBro로 트래픽을 푸시할 수도 있습니다.

고객 웹 패널 스크린샷 - 출처: Confiant.com 블로그

리디렉션이 발생하면 사용자는 가장 인기 있는 몇 가지 전술을 통해 감염을 활성화하도록 유인되었습니다.

• 가짜 Adobe Flash Player 업데이트 팝업
• 가짜 백신 팝업
• 기술 지원 사기
• 다양한 스케어웨어 메시지

APT31은 그들의 계획을 수립하고 합법적인 것처럼 보이게 하기 위해 많은 노력을 기울였습니다. 모든 가짜 대행사에는 다양한 마케팅 자료, 소셜 미디어에 프로필이 있는 가짜 임원, 고유한 콘텐츠로 해당 미디어에 게시된 게시물까지 있었습니다. 대부분의 지르코늄 양산 기업은 2017년 봄에 출범했습니다. 28개 기업 중 8개 기업이 소셜 미디어 활동을 시작하지도 않았고 광고 활동 도 하지 않았기 때문에 28개 기업 모두가 사용된 것은 아닙니다. 사이버 범죄자의 노력은 분명히 성공적이었습니다. APT31의 가짜 대행사는 16개의 실제 광고 플랫폼과 직접적인 비즈니스 관계를 구축했습니다.

트래픽의 일부만 실제 페이로드로 리디렉션되었습니다. 탐지 및 분석을 피하기 위해 지르코늄은 회피 방법을 사용했습니다. APT31은 지문이라는 기술을 사용했습니다. 사이버 범죄자가 잠재적 피해자의 시스템에 대한 정보를 수집하여 청중의 특정 부분을 보다 정확하게 표적으로 삼는 프로세스입니다. 핑거프린팅을 사용할 때 사이버 범죄자의 목표는 탐지를 피하는 것입니다. 이를 위해 브라우저에서 JavaScript를 사용하여 스크립트가 보안 스캐너에 대해 실행 중인지 확인했습니다. 스캐너의 흔적이 감지되면 페이로드가 배달되지 않습니다. 지문과 관련된 위험이 있습니다. 스크립트는 그것을 찾는 모든 사람이 볼 수 있으며 의심을 불러일으킬 수 있지만 지문을 사용하면 페이로드를 더 많이 배포할 수 있습니다.

APT31의 교활한 전술 활용

사용자 측에서 스크립트를 실행하지 않고 탐지를 회피하는 다른 방법이 있습니다. 서버 측 메커니즘은 보안 연구원이 트리거하지 않으면 분석할 수 없기 때문에 적용하는 것이 더 안전할 수 있습니다. 그러한 접근 방식 중 하나는 사용자의 IP가 데이터 센터 IP인지 확인하는 것입니다. 스캐너는 종종 데이터 센터 IP를 사용하며 이러한 IP를 감지하면 페이로드를 배포하지 않는다는 분명한 신호가 됩니다.

APT31의 악성 광고 작업의 엄청난 규모에도 불구하고 보안 연구원들은 여전히 지적 재산권 도용에 중점을 두고 있습니다. 모든 지르코늄 작업의 실제 범위는 해를 끼칠 가능성이 있기 때문에 아직 알려지지 않았습니다.