APT31 / Zirkonium

APT31 is een Advanced Persistent Threat-groep met een focus op diefstal van intellectueel eigendom en malvertising. Deze groep wordt door verschillende beveiligingsorganisaties ook wel Zirconium, Judgement Panda en Bronze Vinewood genoemd. Net als bij de meeste andere APT-groepen, zijn er vermoedens dat APT31 mogelijk door de staat wordt gesponsord en in dit geval is de vermoedelijke staat China. In de zomer van 2020 suggereerde de Google Threat Analysis Group dat APT31 zich met phishing-e-mails op de presidentiële campagne van Joe Biden richtte.

APT31's gedwongen omleidingsproces

In 2017 voerde APT31 de grootste malvertising-operatie uit. De groep had niet minder dan 28 nepadvertentiebedrijven opgericht. Volgens Confiant had Zirconium ongeveer 1 miljard advertentieweergaven gekocht en was het erin geslaagd om op 62% van alle websites met advertenties te gelde te maken. De belangrijkste aanvalsvector die APT31 gebruikte, was de gedwongen omleiding. Een gedwongen omleiding vindt plaats wanneer iemand die op een website surft, wordt omgeleid naar een andere website zonder dat de gebruiker actie onderneemt. De website waarop de gebruiker terechtkomt, wordt vaak gebruikt als onderdeel van een scam of leidt tot een malware-infectie.

myadsbro apt31 startpagina
Schermafbeelding van MyAdsBro-startpagina - bron: blog Confiant.com

APT31 heeft Beginads, een nepadvertentiebureau, gemaakt en gebruikt om relaties met advertentieplatforms tot stand te brengen. Later werd het het domein dat Zirconium zou gebruiken om het verkeer te leiden voor alle campagnes van al hun nepbureaus. APT31 heeft hard gewerkt om ervoor te zorgen dat ze legitiem ogende relaties hadden met een aantal echte advertentieplatforms. Deze aanpak gaf de regeling ook enige veerkracht en maakte het minder waarschijnlijk dat er argwaan werd gewekt. APT31 heeft ook verkeer doorverkocht aan affiliate marketingplatforms. Deze regeling betekende dat APT31 de landingspagina's niet alleen hoefde te bedienen. De cybercriminelen gingen verder en creëerden een aangesloten netwerk dat ze zelf exploiteerden. Het netwerk heette MyAdsBro. APT31 voerde vroeger hun eigen campagnes via MyAdsBro, maar anderen konden ook voor een commissie verkeer naar MyAdsBro sturen.

myadsbro klantenpagina
Schermafbeelding van klantwebpaneel - bron: Confiant.com blog

Nadat de omleidingen hadden plaatsgevonden, werden de gebruikers verleid om de infectie mogelijk te maken door middel van enkele van de meest populaire tactieken:

  • Valse pop-ups van Adobe Flash Player-updates
  • Valse antivirus-pop-ups
  • Technische ondersteuning oplichting
  • Diverse scareware-berichten

APT31 heeft zich tot het uiterste ingespannen om hun plan op te stellen en het er legitiem uit te laten zien. Alle nepbureaus hadden verschillende marketingmaterialen, nepfunctionarissen met profielen op sociale media en zelfs berichten in die media met unieke inhoud. De meeste van de massaproductiebedrijven van Zirconium zijn in het voorjaar van 2017 gelanceerd. Niet alle 28 werden gebruikt, aangezien 8 van hen nooit hun aanwezigheid op sociale media begonnen en niet betrokken raakten bij reclameactiviteiten . De inspanningen van de cybercrimineel waren duidelijk succesvol. De nepbureaus van APT31 zijn erin geslaagd directe zakelijke relaties te creëren met 16 echte advertentieplatforms.

Slechts een klein deel van het verkeer werd omgeleid naar een daadwerkelijke payload. Om detectie en analyse te voorkomen, gebruikte Zirconium ontwijkingsmethoden. APT31 gebruikte een techniek die vingerafdrukken wordt genoemd. Het is een proces waarbij de cybercriminelen informatie verzamelen over de systemen van de potentiële slachtoffers om zich nauwkeuriger op een bepaald deel van het publiek te richten. Het doel van de cybercriminelen bij het gebruik van vingerafdrukken is om detectie te voorkomen. Daartoe gebruikten ze JavaScript in de browser om te proberen vast te stellen of het script tegen een beveiligingsscanner werd uitgevoerd. Als er tekenen van een scanner werden gedetecteerd, zou de payload niet worden afgeleverd. Er is een risico verbonden aan het nemen van vingerafdrukken. Het script is zichtbaar voor iedereen die ernaar zoekt en dat kan argwaan wekken, maar het nemen van vingerafdrukken zorgt voor een groter aantal implementaties van de payload.

APT31 maakt gebruik van zijn sneaky tactics

Er zijn andere manieren om detectie te omzeilen waarbij geen script aan de kant van de gebruiker moet worden uitgevoerd. Mechanismen aan de serverzijde kunnen veiliger zijn om toe te passen, omdat een beveiligingsonderzoeker ze niet kan analyseren tenzij ze worden geactiveerd. Een van die benaderingen is om te controleren of het IP-adres van de gebruiker een datacenter-IP is. Scanners gebruiken vaak datacenter-IP's en het detecteren van dergelijke IP-adressen zou een duidelijk teken zijn om de payload niet te implementeren.

Ondanks de indrukwekkende schaal van APT31's malvertising-operatie, identificeren beveiligingsonderzoekers nog steeds dat hun belangrijkste focus diefstal van intellectueel eigendom is. De werkelijke omvang van alle activiteiten van zirkonium is nog onbekend, evenals hun potentieel om schade aan te richten.

Trending

Meest bekeken

Bezig met laden...