APT31/Zirconium

APT31 är en Advanced Persistent Threat-grupp med fokus på immateriella stölder och malvertising. Denna grupp kallas även Zirconium, Judgment Panda och Bronze Vinewood av olika säkerhetsorganisationer. Liksom med de flesta andra APT-grupper finns det misstankar om att APT31 kan vara statligt sponsrad och i det här fallet är den misstänkta staten Kina. Sommaren 2020 föreslog Google Threat Analysis Group att APT31 riktade in sig på Joe Bidens presidentkampanj med nätfiske-e-post.

APT31s påtvingade omdirigeringsprocess

Redan 2017 körde APT31 den största malvertisingverksamheten. Gruppen hade skapat inte mindre än 28 falska reklamföretag. Enligt Confiant hade Zirconium köpt cirka 1 miljard annonsvisningar och hade lyckats komma in på 62 % av alla webbplatser som tjänar pengar på annonser. Den huvudsakliga attackvektorn APT31 som användes var den påtvingade omdirigeringen. En påtvingad omdirigering uppstår när någon som surfar på en webbplats omdirigeras till en annan webbplats utan att användaren vidtar någon åtgärd. Webbplatsen som användaren hamnar på används vanligtvis som en del av en bluff eller leder till en skadlig programvara.

myadsbro apt31 hemsida
MyAdsBro hemsida skärmdump - källa: Confiant.com blogg

APT31 skapade och använde Beginads, en falsk reklambyrå, för att etablera relationer med annonsplattformar. Efteråt blev det domänen Zirconium skulle använda för att dirigera trafik för alla kampanjer från alla deras falska byråer. APT31 arbetade hårt för att se till att de hade lagligt utseende relationer med ett antal riktiga annonsplattformar. Detta tillvägagångssätt gav också systemet viss motståndskraft och gjorde det mindre troligt att det väckte misstankar. APT31 sålde också vidare trafik till affiliate-marknadsföringsplattformar. Detta arrangemang innebar att APT31 inte behövde sköta målsidorna på egen hand. De cyberbrottslingar gick längre och skapade ett affiliatenätverk som de själva drev. Nätverket hette MyAdsBro. APT31 brukade köra sina egna kampanjer genom MyAdsBro men andra kunde också driva trafik till MyAdsBro mot en provision.

myadsbro kundsida
Skärmdump av kundwebbpanel - källa: Confiant.com-bloggen

När omdirigeringarna väl ägde rum, lockades användarna att aktivera infektionen genom några av de mest populära taktikerna:

  • Falska popup-fönster för Adobe Flash Player-uppdatering
  • Falska antivirus popup-fönster
  • Bedrägerier med teknisk support
  • Olika skrämselmeddelanden

APT31 gick mycket långt när de etablerade sitt system och fick det att se legitimt ut. Alla de falska byråerna hade olika marknadsföringsmaterial, falska tjänstemän med profiler i sociala medier och till och med inlägg i nämnda medier med unikt innehåll. De flesta av Zirconiums massproducerade företag lanserades under våren 2017. Alla av de 28 användes inte eftersom 8 av dem aldrig startade sin närvaro i sociala medier och inte engagerade sig i några reklamaktiviteter. Cyberbrottslingens insatser var klart framgångsrika. APT31:s falska byråer lyckades skapa direkta affärsrelationer med 16 riktiga annonsplattformar.

Endast en liten del av trafiken fick de omdirigerad till en faktisk nyttolast. För att undvika upptäckt och analys använde zirkonium flyktmetoder. APT31 använde en teknik som kallas fingeravtryck. Det är en process där cyberkriminella samlar in information om de potentiella offrens system för att mer exakt rikta in sig på en viss del av publiken. Målet för cyberbrottslingarna när de använder fingeravtryck är att undvika upptäckt. För det ändamålet skulle de använda JavaScript i webbläsaren för att försöka kontrollera om skriptet kördes mot en säkerhetsskanner. Om tecken på en skanner upptäcktes, skulle nyttolasten inte levereras. Det finns en risk med fingeravtryck. Skriptet är synligt för alla som letar efter det och det kan väcka misstankar, men fingeravtryck möjliggör ett högre antal distributioner av nyttolasten.

APT31 utnyttjar sin lömska taktik

Det finns andra sätt att undvika upptäckt som inte involverar att köra ett skript på användarens sida. Mekanismer på serversidan kan vara säkrare att tillämpa eftersom en säkerhetsforskare inte skulle kunna analysera dem om de inte utlöses. Ett sådant tillvägagångssätt är att kontrollera om användarens IP är en datacenter-IP. Scanners använder ofta datacenter-IP:er och att upptäcka sådan IP skulle vara ett tydligt tecken på att inte distribuera nyttolasten.

Trots den imponerande omfattningen av APT31:s malvertisingverksamhet, identifierar säkerhetsforskare fortfarande att deras huvudfokus är stöld av immateriell egendom. Den verkliga omfattningen av all Zirconiums verksamhet är fortfarande okänd, liksom deras potential att göra skada.

Trendigt

Mest sedda

Läser in...