APT31/జిర్కోనియం
APT31 అనేది మేధో సంపత్తి దొంగతనం మరియు మాల్వర్టైజింగ్పై దృష్టి సారించే అధునాతన పెర్సిస్టెంట్ థ్రెట్ గ్రూప్. ఈ సమూహాన్ని వివిధ భద్రతా సంస్థలు జిర్కోనియం, జడ్జిమెంట్ పాండా మరియు బ్రాంజ్ వైన్వుడ్ అని కూడా పిలుస్తారు. చాలా ఇతర APT సమూహాల మాదిరిగానే, APT31 రాష్ట్ర-ప్రాయోజితంగా ఉండవచ్చనే అనుమానాలు ఉన్నాయి మరియు ఈ సందర్భంలో అనుమానిత రాష్ట్రం చైనా. 2020 వేసవిలో గూగుల్ థ్రెట్ అనాలిసిస్ గ్రూప్ APT31 జో బిడెన్ అధ్యక్ష ఎన్నికల ప్రచారాన్ని ఫిషింగ్ ఇమెయిల్లతో లక్ష్యంగా చేసుకుంటుందని సూచించింది.
ఇటీవల TAG చైనా APT సమూహం బిడెన్ ప్రచార సిబ్బందిని లక్ష్యంగా చేసుకుంది & ఇరాన్ APT ట్రంప్ ప్రచార సిబ్బందిని ఫిషింగ్తో లక్ష్యంగా చేసుకుంది. రాజీపడే సూచన లేదు. మేము వినియోగదారులకు మా ప్రభుత్వ దాడి హెచ్చరికను పంపాము మరియు మేము ఫెడ్ చట్ట అమలుకు సూచించాము. https://t.co/ozlRL4SwhG
— షేన్ హంట్లీ (@ShaneHuntley) జూన్ 4, 2020
APT31 యొక్క బలవంతపు దారి మళ్లింపు ప్రక్రియ
తిరిగి 2017లో, APT31 అతిపెద్ద మాల్వర్టైజింగ్ ఆపరేషన్ను అమలు చేస్తోంది. గ్రూప్ 28 కంటే తక్కువ నకిలీ ప్రకటనల కంపెనీలను సృష్టించింది. కాన్ఫియాంట్ ప్రకారం, జిర్కోనియం సుమారు 1 బిలియన్ ప్రకటన వీక్షణలను కొనుగోలు చేసింది మరియు అన్ని ప్రకటన-మానిటైజ్ చేసిన వెబ్సైట్లలో 62% పొందగలిగింది. ఉపయోగించిన ప్రధాన దాడి వెక్టర్ APT31 బలవంతపు దారి మళ్లింపు. ఎవరైనా వెబ్సైట్ను బ్రౌజ్ చేస్తున్నప్పుడు వినియోగదారు ఎలాంటి చర్య తీసుకోకుండానే మరొక వెబ్సైట్కి దారి మళ్లించినప్పుడు బలవంతంగా దారి మళ్లించడం జరుగుతుంది. వినియోగదారు ప్రారంభించే వెబ్సైట్ సాధారణంగా స్కామ్లో భాగంగా ఉపయోగించబడుతుంది లేదా మాల్వేర్ ఇన్ఫెక్షన్కు దారి తీస్తుంది.
MyAdsBro హోమ్పేజీ స్క్రీన్షాట్ - మూలం: Confiant.com బ్లాగ్
APT31 యాడ్ ప్లాట్ఫారమ్లతో సంబంధాలను ఏర్పరచుకోవడానికి బిగినాడ్స్ అనే నకిలీ ప్రకటన ఏజెన్సీని సృష్టించింది మరియు ఉపయోగించింది. లైన్ డౌన్, ఇది Zirconium వారి నకిలీ ఏజెన్సీల అన్ని ప్రచారాల కోసం డైరెక్ట్ ట్రాఫిక్కు ఉపయోగించే డొమైన్గా మారింది. APT31 వారు అనేక నిజమైన ప్రకటన ప్లాట్ఫారమ్లతో చట్టబద్ధంగా సంబంధాలు కలిగి ఉన్నారని నిర్ధారించుకోవడానికి చాలా కష్టపడ్డారు. ఈ విధానం పథకానికి కొంత స్థితిస్థాపకతను అందించింది మరియు అనుమానాలు లేవనెత్తే అవకాశం తక్కువగా ఉంది. APT31 అనుబంధ మార్కెటింగ్ ప్లాట్ఫారమ్లకు కూడా ట్రాఫిక్ను తిరిగి విక్రయించింది. ఈ ఏర్పాటు వల్ల APT31 ల్యాండింగ్ పేజీలను సొంతంగా ఆపరేట్ చేయాల్సిన అవసరం లేదు. సైబర్ నేరగాళ్లు మరింత ముందుకు సాగారు , వారు స్వయంగా నిర్వహించే అనుబంధ నెట్వర్క్ను సృష్టించారు. నెట్వర్క్ని MyAdsBro అని పిలుస్తారు. APT31 MyAdsBro ద్వారా వారి స్వంత ప్రచారాలను అమలు చేసేవారు, అయితే ఇతరులు కమీషన్ కోసం MyAdsBroకి ట్రాఫిక్ను కూడా పంపవచ్చు.
కస్టమర్ వెబ్ ప్యానెల్ స్క్రీన్షాట్ - మూలం: Confiant.com బ్లాగ్
దారి మళ్లింపులు జరిగిన తర్వాత, అత్యంత ప్రజాదరణ పొందిన కొన్ని వ్యూహాల ద్వారా ఇన్ఫెక్షన్ని ఎనేబుల్ చేయడానికి వినియోగదారులు ఆకర్షించబడ్డారు:
- నకిలీ Adobe Flash Player అప్డేట్ పాప్-అప్లు
- నకిలీ యాంటీవైరస్ పాప్-అప్లు
- సాంకేతిక మద్దతు మోసాలు
- రకరకాల స్కేర్వేర్ సందేశాలు
APT31 వారి స్కీమ్ని స్థాపించడంలో మరియు చట్టబద్ధంగా కనిపించేలా చేయడంలో చాలా వరకు పడింది. అన్ని నకిలీ ఏజెన్సీలు వివిధ మార్కెటింగ్ సామగ్రిని కలిగి ఉన్నాయి, సోషల్ మీడియాలో ప్రొఫైల్లతో నకిలీ అధికారులు మరియు ప్రత్యేకమైన కంటెంట్తో పేర్కొన్న మీడియాలో పోస్ట్లు కూడా ఉన్నాయి. జిర్కోనియం యొక్క భారీ-ఉత్పత్తి కంపెనీలు 2017 వసంతకాలంలో ప్రారంభించబడ్డాయి. 28లో అన్నీ ఉపయోగించబడలేదు, వాటిలో 8 ఎప్పుడూ తమ సోషల్ మీడియా ఉనికిని ప్రారంభించలేదు మరియు ఎటువంటి ప్రకటన కార్యకలాపాలలో పాల్గొనలేదు. సైబర్ నేరగాళ్ల ప్రయత్నాలు స్పష్టంగా విజయవంతమయ్యాయి. APT31 యొక్క నకిలీ ఏజెన్సీలు 16 నిజమైన ప్రకటన ప్లాట్ఫారమ్లతో ప్రత్యక్ష వ్యాపార సంబంధాలను సృష్టించుకోగలిగాయి.
వారు పొందిన ట్రాఫిక్లో కొంత భాగం మాత్రమే వాస్తవ పేలోడ్కు దారి మళ్లించబడింది. గుర్తించడం మరియు విశ్లేషణను నివారించడానికి, జిర్కోనియం ఎగవేత పద్ధతులను ఉపయోగించింది. APT31 వేలిముద్ర అనే సాంకేతికతను ఉపయోగించింది. ఇది ప్రేక్షకులలోని నిర్దిష్ట భాగాన్ని మరింత ఖచ్చితంగా లక్ష్యంగా చేసుకోవడానికి సైబర్ నేరగాళ్లు సంభావ్య బాధితుల వ్యవస్థల గురించి సమాచారాన్ని సేకరించే ప్రక్రియ. ఫింగర్ప్రింటింగ్ని ఉపయోగిస్తున్నప్పుడు గుర్తించబడకుండా ఉండటమే సైబర్ నేరగాళ్ల లక్ష్యం. ఆ ప్రయోజనం కోసం, వారు స్క్రిప్ట్ భద్రతా స్కానర్కు వ్యతిరేకంగా నడుస్తుందో లేదో తెలుసుకోవడానికి బ్రౌజర్లో జావాస్క్రిప్ట్ని ఉపయోగిస్తారు. స్కానర్ సంకేతాలు గుర్తించబడితే, పేలోడ్ డెలివరీ చేయబడదు. వేలిముద్ర వేయడంతో ప్రమాదం పొంచి ఉంది. స్క్రిప్ట్ వెతుకుతున్న ఎవరికైనా కనిపిస్తుంది మరియు అది అనుమానాన్ని రేకెత్తిస్తుంది, అయితే వేలిముద్ర పేలోడ్ యొక్క అధిక సంఖ్యలో విస్తరణలను అనుమతిస్తుంది.
APT31 దాని తప్పుడు వ్యూహాలను ప్రభావితం చేస్తుంది
వినియోగదారు వైపు స్క్రిప్ట్ని అమలు చేయడంతో సంబంధం లేని గుర్తింపును తప్పించుకోవడానికి ఇతర మార్గాలు ఉన్నాయి. సర్వర్ సైడ్ మెకానిజమ్లను వర్తింపజేయడం సురక్షితంగా ఉంటుంది, ఎందుకంటే అవి ట్రిగ్గర్ చేస్తే తప్ప భద్రతా పరిశోధకుడు వాటిని విశ్లేషించలేరు. వినియోగదారు యొక్క IP డేటాసెంటర్ IP కాదా అని తనిఖీ చేయడం అటువంటి విధానం. స్కానర్లు తరచుగా డేటాసెంటర్ IPలను ఉపయోగిస్తాయి మరియు అటువంటి IPని గుర్తించడం పేలోడ్ని అమలు చేయకపోవడానికి స్పష్టమైన సంకేతం.
APT31 యొక్క మాల్వర్టైజింగ్ ఆపరేషన్ యొక్క ఆకట్టుకునే స్థాయి ఉన్నప్పటికీ, భద్రతా పరిశోధకులు ఇప్పటికీ వారి ప్రధాన దృష్టిని మేధో సంపత్తి దొంగతనంగా గుర్తిస్తున్నారు. జిర్కోనియం యొక్క అన్ని కార్యకలాపాల యొక్క నిజమైన పరిధి ఇప్పటికీ తెలియదు, ఎందుకంటే వాటికి హాని చేయగల సామర్థ్యం ఉంది.