APT31/జిర్కోనియం

APT31 అనేది మేధో సంపత్తి దొంగతనం మరియు మాల్వర్టైజింగ్‌పై దృష్టి సారించే అధునాతన పెర్సిస్టెంట్ థ్రెట్ గ్రూప్. ఈ సమూహాన్ని వివిధ భద్రతా సంస్థలు జిర్కోనియం, జడ్జిమెంట్ పాండా మరియు బ్రాంజ్ వైన్‌వుడ్ అని కూడా పిలుస్తారు. చాలా ఇతర APT సమూహాల మాదిరిగానే, APT31 రాష్ట్ర-ప్రాయోజితంగా ఉండవచ్చనే అనుమానాలు ఉన్నాయి మరియు ఈ సందర్భంలో అనుమానిత రాష్ట్రం చైనా. 2020 వేసవిలో గూగుల్ థ్రెట్ అనాలిసిస్ గ్రూప్ APT31 జో బిడెన్ అధ్యక్ష ఎన్నికల ప్రచారాన్ని ఫిషింగ్ ఇమెయిల్‌లతో లక్ష్యంగా చేసుకుంటుందని సూచించింది.

ఇటీవల TAG చైనా APT సమూహం బిడెన్ ప్రచార సిబ్బందిని లక్ష్యంగా చేసుకుంది & ఇరాన్ APT ట్రంప్ ప్రచార సిబ్బందిని ఫిషింగ్‌తో లక్ష్యంగా చేసుకుంది. రాజీపడే సూచన లేదు. మేము వినియోగదారులకు మా ప్రభుత్వ దాడి హెచ్చరికను పంపాము మరియు మేము ఫెడ్ చట్ట అమలుకు సూచించాము. https://t.co/ozlRL4SwhG

— షేన్ హంట్లీ (@ShaneHuntley) జూన్ 4, 2020

APT31 యొక్క బలవంతపు దారి మళ్లింపు ప్రక్రియ

తిరిగి 2017లో, APT31 అతిపెద్ద మాల్వర్టైజింగ్ ఆపరేషన్‌ను అమలు చేస్తోంది. గ్రూప్ 28 కంటే తక్కువ నకిలీ ప్రకటనల కంపెనీలను సృష్టించింది. కాన్ఫియాంట్ ప్రకారం, జిర్కోనియం సుమారు 1 బిలియన్ ప్రకటన వీక్షణలను కొనుగోలు చేసింది మరియు అన్ని ప్రకటన-మానిటైజ్ చేసిన వెబ్‌సైట్‌లలో 62% పొందగలిగింది. ఉపయోగించిన ప్రధాన దాడి వెక్టర్ APT31 బలవంతపు దారి మళ్లింపు. ఎవరైనా వెబ్‌సైట్‌ను బ్రౌజ్ చేస్తున్నప్పుడు వినియోగదారు ఎలాంటి చర్య తీసుకోకుండానే మరొక వెబ్‌సైట్‌కి దారి మళ్లించినప్పుడు బలవంతంగా దారి మళ్లించడం జరుగుతుంది. వినియోగదారు ప్రారంభించే వెబ్‌సైట్ సాధారణంగా స్కామ్‌లో భాగంగా ఉపయోగించబడుతుంది లేదా మాల్వేర్ ఇన్‌ఫెక్షన్‌కు దారి తీస్తుంది.

MyAdsBro హోమ్‌పేజీ స్క్రీన్‌షాట్ - మూలం: Confiant.com బ్లాగ్

APT31 యాడ్ ప్లాట్‌ఫారమ్‌లతో సంబంధాలను ఏర్పరచుకోవడానికి బిగినాడ్స్ అనే నకిలీ ప్రకటన ఏజెన్సీని సృష్టించింది మరియు ఉపయోగించింది. లైన్ డౌన్, ఇది Zirconium వారి నకిలీ ఏజెన్సీల అన్ని ప్రచారాల కోసం డైరెక్ట్ ట్రాఫిక్‌కు ఉపయోగించే డొమైన్‌గా మారింది. APT31 వారు అనేక నిజమైన ప్రకటన ప్లాట్‌ఫారమ్‌లతో చట్టబద్ధంగా సంబంధాలు కలిగి ఉన్నారని నిర్ధారించుకోవడానికి చాలా కష్టపడ్డారు. ఈ విధానం పథకానికి కొంత స్థితిస్థాపకతను అందించింది మరియు అనుమానాలు లేవనెత్తే అవకాశం తక్కువగా ఉంది. APT31 అనుబంధ మార్కెటింగ్ ప్లాట్‌ఫారమ్‌లకు కూడా ట్రాఫిక్‌ను తిరిగి విక్రయించింది. ఈ ఏర్పాటు వల్ల APT31 ల్యాండింగ్ పేజీలను సొంతంగా ఆపరేట్ చేయాల్సిన అవసరం లేదు. సైబర్ నేరగాళ్లు మరింత ముందుకు సాగారు , వారు స్వయంగా నిర్వహించే అనుబంధ నెట్‌వర్క్‌ను సృష్టించారు. నెట్‌వర్క్‌ని MyAdsBro అని పిలుస్తారు. APT31 MyAdsBro ద్వారా వారి స్వంత ప్రచారాలను అమలు చేసేవారు, అయితే ఇతరులు కమీషన్ కోసం MyAdsBroకి ట్రాఫిక్‌ను కూడా పంపవచ్చు.

కస్టమర్ వెబ్ ప్యానెల్ స్క్రీన్‌షాట్ - మూలం: Confiant.com బ్లాగ్

దారి మళ్లింపులు జరిగిన తర్వాత, అత్యంత ప్రజాదరణ పొందిన కొన్ని వ్యూహాల ద్వారా ఇన్‌ఫెక్షన్‌ని ఎనేబుల్ చేయడానికి వినియోగదారులు ఆకర్షించబడ్డారు:

• నకిలీ Adobe Flash Player అప్‌డేట్ పాప్-అప్‌లు
• నకిలీ యాంటీవైరస్ పాప్-అప్‌లు
• సాంకేతిక మద్దతు మోసాలు
• రకరకాల స్కేర్‌వేర్ సందేశాలు

APT31 వారి స్కీమ్‌ని స్థాపించడంలో మరియు చట్టబద్ధంగా కనిపించేలా చేయడంలో చాలా వరకు పడింది. అన్ని నకిలీ ఏజెన్సీలు వివిధ మార్కెటింగ్ సామగ్రిని కలిగి ఉన్నాయి, సోషల్ మీడియాలో ప్రొఫైల్‌లతో నకిలీ అధికారులు మరియు ప్రత్యేకమైన కంటెంట్‌తో పేర్కొన్న మీడియాలో పోస్ట్‌లు కూడా ఉన్నాయి. జిర్కోనియం యొక్క భారీ-ఉత్పత్తి కంపెనీలు 2017 వసంతకాలంలో ప్రారంభించబడ్డాయి. 28లో అన్నీ ఉపయోగించబడలేదు, వాటిలో 8 ఎప్పుడూ తమ సోషల్ మీడియా ఉనికిని ప్రారంభించలేదు మరియు ఎటువంటి ప్రకటన కార్యకలాపాలలో పాల్గొనలేదు. సైబర్ నేరగాళ్ల ప్రయత్నాలు స్పష్టంగా విజయవంతమయ్యాయి. APT31 యొక్క నకిలీ ఏజెన్సీలు 16 నిజమైన ప్రకటన ప్లాట్‌ఫారమ్‌లతో ప్రత్యక్ష వ్యాపార సంబంధాలను సృష్టించుకోగలిగాయి.

వారు పొందిన ట్రాఫిక్‌లో కొంత భాగం మాత్రమే వాస్తవ పేలోడ్‌కు దారి మళ్లించబడింది. గుర్తించడం మరియు విశ్లేషణను నివారించడానికి, జిర్కోనియం ఎగవేత పద్ధతులను ఉపయోగించింది. APT31 వేలిముద్ర అనే సాంకేతికతను ఉపయోగించింది. ఇది ప్రేక్షకులలోని నిర్దిష్ట భాగాన్ని మరింత ఖచ్చితంగా లక్ష్యంగా చేసుకోవడానికి సైబర్ నేరగాళ్లు సంభావ్య బాధితుల వ్యవస్థల గురించి సమాచారాన్ని సేకరించే ప్రక్రియ. ఫింగర్‌ప్రింటింగ్‌ని ఉపయోగిస్తున్నప్పుడు గుర్తించబడకుండా ఉండటమే సైబర్ నేరగాళ్ల లక్ష్యం. ఆ ప్రయోజనం కోసం, వారు స్క్రిప్ట్ భద్రతా స్కానర్‌కు వ్యతిరేకంగా నడుస్తుందో లేదో తెలుసుకోవడానికి బ్రౌజర్‌లో జావాస్క్రిప్ట్‌ని ఉపయోగిస్తారు. స్కానర్ సంకేతాలు గుర్తించబడితే, పేలోడ్ డెలివరీ చేయబడదు. వేలిముద్ర వేయడంతో ప్రమాదం పొంచి ఉంది. స్క్రిప్ట్ వెతుకుతున్న ఎవరికైనా కనిపిస్తుంది మరియు అది అనుమానాన్ని రేకెత్తిస్తుంది, అయితే వేలిముద్ర పేలోడ్ యొక్క అధిక సంఖ్యలో విస్తరణలను అనుమతిస్తుంది.

APT31 దాని తప్పుడు వ్యూహాలను ప్రభావితం చేస్తుంది

వినియోగదారు వైపు స్క్రిప్ట్‌ని అమలు చేయడంతో సంబంధం లేని గుర్తింపును తప్పించుకోవడానికి ఇతర మార్గాలు ఉన్నాయి. సర్వర్ సైడ్ మెకానిజమ్‌లను వర్తింపజేయడం సురక్షితంగా ఉంటుంది, ఎందుకంటే అవి ట్రిగ్గర్ చేస్తే తప్ప భద్రతా పరిశోధకుడు వాటిని విశ్లేషించలేరు. వినియోగదారు యొక్క IP డేటాసెంటర్ IP కాదా అని తనిఖీ చేయడం అటువంటి విధానం. స్కానర్‌లు తరచుగా డేటాసెంటర్ IPలను ఉపయోగిస్తాయి మరియు అటువంటి IPని గుర్తించడం పేలోడ్‌ని అమలు చేయకపోవడానికి స్పష్టమైన సంకేతం.

APT31 యొక్క మాల్వర్టైజింగ్ ఆపరేషన్ యొక్క ఆకట్టుకునే స్థాయి ఉన్నప్పటికీ, భద్రతా పరిశోధకులు ఇప్పటికీ వారి ప్రధాన దృష్టిని మేధో సంపత్తి దొంగతనంగా గుర్తిస్తున్నారు. జిర్కోనియం యొక్క అన్ని కార్యకలాపాల యొక్క నిజమైన పరిధి ఇప్పటికీ తెలియదు, ఎందుకంటే వాటికి హాని చేయగల సామర్థ్యం ఉంది.