APT31/เซอร์โคเนียม
APT31 เป็นกลุ่มภัยคุกคามถาวรขั้นสูงที่เน้นการขโมยทรัพย์สินทางปัญญาและการโฆษณามัลแวร์ กลุ่มนี้เรียกอีกอย่างว่าเซอร์โคเนียม, Judgement Panda และ Bronze Vinewood โดยองค์กรรักษาความปลอดภัยต่างๆ เช่นเดียวกับกลุ่ม APT อื่นๆ ส่วนใหญ่ มีความสงสัยว่า APT31 อาจได้รับการสนับสนุนจากรัฐ และในกรณีนี้ รัฐที่น่าสงสัยคือจีน ในช่วงฤดูร้อนปี 2020 Google Threat Analysis Group แนะนำว่า APT31 ตั้งเป้าไปที่แคมเปญประธานาธิบดีของ Joe Biden ด้วยอีเมลฟิชชิ่ง
เมื่อเร็ว ๆ นี้ TAG เห็นกลุ่ม China APT ที่กำหนดเป้าหมายเจ้าหน้าที่หาเสียง Biden และอิหร่าน APT กำหนดเป้าหมายพนักงานรณรงค์ของ Trump ด้วยฟิชชิ่ง ไม่มีสัญญาณของการประนีประนอม เราส่งคำเตือนการโจมตีของรัฐบาลให้ผู้ใช้และเราอ้างอิงถึงหน่วยงานบังคับใช้กฎหมาย https://t.co/ozlRL4SwhG
– Shane Huntley (@ShaneHuntley) วันที่ 4 มิถุนายน 2020
กระบวนการบังคับเปลี่ยนเส้นทางของ APT31
ย้อนกลับไปในปี 2560 APT31 ดำเนินการโฆษณามัลแวร์ที่ใหญ่ที่สุด กลุ่มนี้ได้สร้างบริษัทโฆษณาปลอมขึ้นมาไม่น้อยกว่า 28 บริษัท Confiant ระบุว่า เซอร์โคเนียมซื้อการดูโฆษณาได้ประมาณ 1 พันล้านครั้ง และได้รับ 62% ของเว็บไซต์ที่สร้างรายได้จากโฆษณาทั้งหมด เวกเตอร์การโจมตีหลัก APT31 ที่ใช้คือการบังคับเปลี่ยนเส้นทาง การบังคับเปลี่ยนเส้นทางเกิดขึ้นเมื่อมีผู้เรียกดูเว็บไซต์ถูกเปลี่ยนเส้นทางไปยังเว็บไซต์อื่นโดยที่ผู้ใช้ไม่ได้ดำเนินการใดๆ เว็บไซต์ที่ผู้ใช้ลงเอยมักใช้เป็นส่วนหนึ่งของการหลอกลวงหรือนำไปสู่การติดมัลแวร์
ภาพหน้าจอหน้าแรกของ MyAdsBro - ที่มา: Confiant.com blog
APT31 สร้างและใช้ Beginads ซึ่งเป็นเอเจนซี่โฆษณาปลอม เพื่อสร้างความสัมพันธ์กับแพลตฟอร์มโฆษณา กลายเป็นโดเมนที่เซอร์โคเนียมใช้เพื่อกำหนดเส้นทางการรับส่งข้อมูลสำหรับแคมเปญทั้งหมดของเอเจนซี่ปลอมทั้งหมดของพวกเขา APT31 ทำงานอย่างหนักเพื่อให้แน่ใจว่าพวกเขาได้มองหาความสัมพันธ์กับแพลตฟอร์มโฆษณาจริงจำนวนหนึ่งอย่างถูกต้อง วิธีการนี้ยังทำให้โครงการมีความยืดหยุ่นและทำให้มีโอกาสเกิดความสงสัยน้อยลง APT31 ยังขายทราฟฟิกไปยังแพลตฟอร์มการตลาดแบบแอฟฟิลิเอตอีกด้วย ข้อตกลงนี้หมายความว่า APT31 ไม่จำเป็นต้องดำเนินการหน้า Landing Page ด้วยตนเอง อาชญากรไซเบอร์เดินหน้าต่อไป สร้างเครือข่ายพันธมิตรที่พวกเขาดำเนินการเอง เครือข่ายนี้มีชื่อว่า MyAdsBro APT31 เคยใช้งานแคมเปญของตนเองผ่าน MyAdsBro แต่บริษัทอื่นๆ ก็สามารถผลักดันการเข้าชมไปยัง MyAdsBro เพื่อรับค่าคอมมิชชันได้
ภาพหน้าจอของแผงเว็บของลูกค้า - ที่มา: Confiant.com blog
เมื่อการเปลี่ยนเส้นทางเกิดขึ้น ผู้ใช้จะถูกล่อลวงให้เปิดใช้งานการติดไวรัสผ่านกลวิธียอดนิยมบางอย่าง:
- ป๊อปอัปอัปเดต Adobe Flash Player ปลอม
- ป๊อปอัปป้องกันไวรัสปลอม
- กลโกงการสนับสนุนด้านเทคนิค
- ข้อความ scareware ต่างๆ
APT31 ใช้ความพยายามอย่างมากในการสร้างโครงร่างและทำให้ดูถูกต้องตามกฎหมาย เอเจนซี่ปลอมทั้งหมดมีสื่อการตลาดที่หลากหลาย เจ้าหน้าที่ปลอมที่มีโปรไฟล์ในโซเชียลมีเดีย และแม้แต่โพสต์ในสื่อดังกล่าวด้วยเนื้อหาที่เป็นเอกลักษณ์ บริษัทที่ผลิตในปริมาณมากของเซอร์โคเนียมส่วนใหญ่เปิดตัวในฤดูใบไม้ผลิปี 2017 ไม่ใช่ทั้งหมด 28 แห่งที่ถูกใช้เนื่องจากบริษัท 8 แห่งไม่เคยเริ่มปรากฏตัวบนโซเชียลมีเดียและไม่ได้มีส่วนร่วมใน กิจกรรมโฆษณาใดๆ ความพยายามของอาชญากรไซเบอร์ประสบความสำเร็จอย่างชัดเจน เอเจนซี่ปลอมของ APT31 สามารถสร้างความสัมพันธ์ทางธุรกิจโดยตรงกับ 16 แพลตฟอร์มโฆษณาจริง
มีเพียงส่วนเล็ก ๆ ของการรับส่งข้อมูลที่พวกเขาถูกเปลี่ยนเส้นทางไปยังเพย์โหลดจริง เพื่อหลีกเลี่ยงการตรวจจับและการวิเคราะห์ เซอร์โคเนียมใช้วิธีหลีกเลี่ยง APT31 ใช้เทคนิคที่เรียกว่าลายนิ้วมือ เป็นกระบวนการที่อาชญากรไซเบอร์รวบรวมข้อมูลเกี่ยวกับระบบของผู้ที่อาจตกเป็นเหยื่อเพื่อกำหนดเป้าหมายเฉพาะส่วนของผู้ชมได้แม่นยำยิ่งขึ้น เป้าหมายของอาชญากรไซเบอร์เมื่อใช้ลายนิ้วมือคือการหลีกเลี่ยงการตรวจจับ เพื่อจุดประสงค์นั้น พวกเขาจะใช้ JavaScript ในเบราว์เซอร์เพื่อลองและตรวจสอบว่าสคริปต์กำลังทำงานกับเครื่องสแกนความปลอดภัยหรือไม่ หากตรวจพบสัญญาณของสแกนเนอร์ เพย์โหลดจะไม่ถูกส่ง มีความเสี่ยงที่เกี่ยวข้องกับการพิมพ์ลายนิ้วมือ สคริปต์นี้ปรากฏแก่ทุกคนที่ค้นหาและอาจสร้างความสงสัย แต่การพิมพ์ลายนิ้วมือช่วยให้มีการปรับใช้เพย์โหลดจำนวนมากขึ้น
APT31 ใช้ประโยชน์จากกลยุทธ์ลับๆ ล่อๆ
มีวิธีอื่นในการหลบเลี่ยงการตรวจจับที่ไม่เกี่ยวข้องกับการเรียกใช้สคริปต์ทางฝั่งผู้ใช้ กลไกฝั่งเซิร์ฟเวอร์สามารถนำไปใช้ได้อย่างปลอดภัยกว่า เนื่องจากนักวิจัยด้านความปลอดภัยจะไม่สามารถวิเคราะห์กลไกเหล่านี้ได้เว้นแต่จะทริกเกอร์ วิธีหนึ่งดังกล่าวคือการตรวจสอบว่า IP ของผู้ใช้เป็น IP ของดาต้าเซ็นเตอร์หรือไม่ เครื่องสแกนมักใช้ IP ของดาต้าเซ็นเตอร์และการตรวจจับ IP ดังกล่าวจะเป็นสัญญาณที่ชัดเจนที่จะไม่ปรับใช้เพย์โหลด
แม้จะมีการดำเนินการโฆษณามัลแวร์ของ APT31 ในระดับที่น่าประทับใจ แต่นักวิจัยด้านความปลอดภัยยังคงระบุจุดสนใจหลักของพวกเขาคือการขโมยทรัพย์สินทางปัญญา ขอบเขตที่แท้จริงของการดำเนินงานทั้งหมดของเซอร์โคเนียมยังไม่เป็นที่ทราบแน่ชัด เนื่องจากยังมีศักยภาพที่จะทำอันตรายได้