APT31/Цирконий

APT31 — это группа Advanced Persistent Threat, специализирующаяся на краже интеллектуальной собственности и вредоносной рекламе. Различные организации безопасности также называют эту группу Zirconium, Judgment Panda и Bronze Vinewood. Как и в случае с большинством других групп APT, есть подозрения, что APT31 может спонсироваться государством, и в этом случае подозреваемым государством является Китай. Летом 2020 года группа анализа угроз Google предположила, что APT31 нацелена на президентскую кампанию Джо Байдена с помощью фишинговых писем.

Процесс принудительного перенаправления APT31

Еще в 2017 году APT31 проводила крупнейшую операцию по распространению вредоносной рекламы. Группа создала не менее 28 подставных рекламных компаний. По данным Confiant, Zirconium купил около 1 миллиарда просмотров рекламы и сумел попасть на 62% всех сайтов, монетизируемых рекламой. Основным вектором атаки, который использовал APT31, была принудительная переадресация. Принудительное перенаправление происходит, когда кто-то, просматривающий веб-сайт, перенаправляется на другой веб-сайт без каких-либо действий со стороны пользователя. Веб-сайт, на который попадает пользователь, обычно используется как часть мошенничества или приводит к заражению вредоносным ПО.

домашняя страница myadsbro apt31
Скриншот домашней страницы MyAdsBro — источник: блог Confiant.com

APT31 создала и использовала поддельное рекламное агентство Beginads для установления отношений с рекламными платформами. В дальнейшем он стал доменом, который Zirconium будет использовать для направления трафика для всех кампаний всех своих поддельных агентств. APT31 усердно работала над тем, чтобы убедиться, что у них есть законные отношения с рядом реальных рекламных платформ. Такой подход также придал схеме некоторую устойчивость и уменьшил вероятность того, что она вызовет подозрения. APT31 также перепродавал трафик на платформы партнерского маркетинга. Такая договоренность означала, что APT31 не приходилось самостоятельно управлять целевыми страницами. Киберпреступники пошли дальше , создав партнерскую сеть, которой сами же и управляли. Сеть называлась MyAdsBro. Раньше APT31 проводила свои собственные кампании через MyAdsBro, но другие также могли направлять трафик на MyAdsBro за комиссию.

страница клиента myadsbro
Скриншот веб-панели клиента — источник: блог Confiant.com

После того, как перенаправления произошли, пользователи были соблазнены активировать заражение с помощью некоторых из самых популярных тактик:

  • Поддельные всплывающие окна обновления Adobe Flash Player
  • Поддельные всплывающие окна антивируса
  • Мошенничество с техподдержкой
  • Различные пугающие сообщения

APT31 приложил немало усилий, чтобы установить свою схему и сделать ее законной. У всех фейковых агентств были различные маркетинговые материалы, фальшивые сотрудники с профилями в социальных сетях и даже посты в указанных СМИ с уникальным содержанием. Большинство компаний массового производства Zirconium были запущены весной 2017 года. Не все из 28 были задействованы, поскольку 8 из них никогда не начинали свое присутствие в социальных сетях и не участвовали в какой-либо рекламной деятельности . Усилия киберпреступника явно увенчались успехом. Поддельным агентствам APT31 удалось установить прямые деловые отношения с 16 реальными рекламными платформами.

Лишь малая часть трафика была перенаправлена на реальную полезную нагрузку. Чтобы избежать обнаружения и анализа, Zirconium использовал методы уклонения. APT31 использовал метод, называемый снятием отпечатков пальцев. Это процесс, в ходе которого киберпреступники собирают информацию о системах потенциальных жертв для более точного нацеливания на определенную часть аудитории. Цель киберпреступников при использовании отпечатков пальцев — избежать обнаружения. С этой целью они использовали JavaScript в браузере, чтобы попытаться выяснить, работает ли скрипт со сканером безопасности. Если бы были обнаружены признаки сканера, полезная нагрузка не была бы доставлена. Существует риск, связанный со снятием отпечатков пальцев. Скрипт виден всем, кто его ищет, и это может вызвать подозрения, но снятие отпечатков пальцев позволяет увеличить количество развертываний полезной нагрузки.

APT31 использует свою хитрую тактику

Есть и другие способы избежать обнаружения, не связанные с запуском скрипта на стороне пользователя. Механизмы на стороне сервера могут быть более безопасными в применении, поскольку исследователь безопасности не сможет их проанализировать, если они не сработают. Один из таких подходов — проверить, является ли IP-адрес пользователя IP-адресом центра обработки данных. Сканеры часто используют IP-адреса центра обработки данных, и обнаружение такого IP-адреса будет явным признаком отказа от развертывания полезной нагрузки.

Несмотря на впечатляющие масштабы деятельности APT31 по распространению вредоносной рекламы, исследователи безопасности по-прежнему считают, что их основное внимание уделяется краже интеллектуальной собственности. Реальный масштаб всех операций Zirconium до сих пор неизвестен, как и их потенциальный вред.

В тренде

Наиболее просматриваемые

Загрузка...