Threat Database Advanced Persistent Threat (APT) APT31/เซอร์โคเนียม

APT31/เซอร์โคเนียม

APT31 เป็นกลุ่มภัยคุกคามถาวรขั้นสูงที่เน้นการขโมยทรัพย์สินทางปัญญาและการโฆษณามัลแวร์ กลุ่มนี้เรียกอีกอย่างว่าเซอร์โคเนียม, Judgement Panda และ Bronze Vinewood โดยองค์กรรักษาความปลอดภัยต่างๆ เช่นเดียวกับกลุ่ม APT อื่นๆ ส่วนใหญ่ มีความสงสัยว่า APT31 อาจได้รับการสนับสนุนจากรัฐ และในกรณีนี้ รัฐที่น่าสงสัยคือจีน ในช่วงฤดูร้อนปี 2020 Google Threat Analysis Group แนะนำว่า APT31 ตั้งเป้าไปที่แคมเปญประธานาธิบดีของ Joe Biden ด้วยอีเมลฟิชชิ่ง

กระบวนการบังคับเปลี่ยนเส้นทางของ APT31

ย้อนกลับไปในปี 2560 APT31 ดำเนินการโฆษณามัลแวร์ที่ใหญ่ที่สุด กลุ่มนี้ได้สร้างบริษัทโฆษณาปลอมขึ้นมาไม่น้อยกว่า 28 บริษัท Confiant ระบุว่า เซอร์โคเนียมซื้อการดูโฆษณาได้ประมาณ 1 พันล้านครั้ง และได้รับ 62% ของเว็บไซต์ที่สร้างรายได้จากโฆษณาทั้งหมด เวกเตอร์การโจมตีหลัก APT31 ที่ใช้คือการบังคับเปลี่ยนเส้นทาง การบังคับเปลี่ยนเส้นทางเกิดขึ้นเมื่อมีผู้เรียกดูเว็บไซต์ถูกเปลี่ยนเส้นทางไปยังเว็บไซต์อื่นโดยที่ผู้ใช้ไม่ได้ดำเนินการใดๆ เว็บไซต์ที่ผู้ใช้ลงเอยมักใช้เป็นส่วนหนึ่งของการหลอกลวงหรือนำไปสู่การติดมัลแวร์

myadsbro apt31 หน้าแรก
ภาพหน้าจอหน้าแรกของ MyAdsBro - ที่มา: Confiant.com blog

APT31 สร้างและใช้ Beginads ซึ่งเป็นเอเจนซี่โฆษณาปลอม เพื่อสร้างความสัมพันธ์กับแพลตฟอร์มโฆษณา กลายเป็นโดเมนที่เซอร์โคเนียมใช้เพื่อกำหนดเส้นทางการรับส่งข้อมูลสำหรับแคมเปญทั้งหมดของเอเจนซี่ปลอมทั้งหมดของพวกเขา APT31 ทำงานอย่างหนักเพื่อให้แน่ใจว่าพวกเขาได้มองหาความสัมพันธ์กับแพลตฟอร์มโฆษณาจริงจำนวนหนึ่งอย่างถูกต้อง วิธีการนี้ยังทำให้โครงการมีความยืดหยุ่นและทำให้มีโอกาสเกิดความสงสัยน้อยลง APT31 ยังขายทราฟฟิกไปยังแพลตฟอร์มการตลาดแบบแอฟฟิลิเอตอีกด้วย ข้อตกลงนี้หมายความว่า APT31 ไม่จำเป็นต้องดำเนินการหน้า Landing Page ด้วยตนเอง อาชญากรไซเบอร์เดินหน้าต่อไป สร้างเครือข่ายพันธมิตรที่พวกเขาดำเนินการเอง เครือข่ายนี้มีชื่อว่า MyAdsBro APT31 เคยใช้งานแคมเปญของตนเองผ่าน MyAdsBro แต่บริษัทอื่นๆ ก็สามารถผลักดันการเข้าชมไปยัง MyAdsBro เพื่อรับค่าคอมมิชชันได้

หน้าลูกค้า myadsbro
ภาพหน้าจอของแผงเว็บของลูกค้า - ที่มา: Confiant.com blog

เมื่อการเปลี่ยนเส้นทางเกิดขึ้น ผู้ใช้จะถูกล่อลวงให้เปิดใช้งานการติดไวรัสผ่านกลวิธียอดนิยมบางอย่าง:

  • ป๊อปอัปอัปเดต Adobe Flash Player ปลอม
  • ป๊อปอัปป้องกันไวรัสปลอม
  • กลโกงการสนับสนุนด้านเทคนิค
  • ข้อความ scareware ต่างๆ

APT31 ใช้ความพยายามอย่างมากในการสร้างโครงร่างและทำให้ดูถูกต้องตามกฎหมาย เอเจนซี่ปลอมทั้งหมดมีสื่อการตลาดที่หลากหลาย เจ้าหน้าที่ปลอมที่มีโปรไฟล์ในโซเชียลมีเดีย และแม้แต่โพสต์ในสื่อดังกล่าวด้วยเนื้อหาที่เป็นเอกลักษณ์ บริษัทที่ผลิตในปริมาณมากของเซอร์โคเนียมส่วนใหญ่เปิดตัวในฤดูใบไม้ผลิปี 2017 ไม่ใช่ทั้งหมด 28 แห่งที่ถูกใช้เนื่องจากบริษัท 8 แห่งไม่เคยเริ่มปรากฏตัวบนโซเชียลมีเดียและไม่ได้มีส่วนร่วมใน กิจกรรมโฆษณาใดๆ ความพยายามของอาชญากรไซเบอร์ประสบความสำเร็จอย่างชัดเจน เอเจนซี่ปลอมของ APT31 สามารถสร้างความสัมพันธ์ทางธุรกิจโดยตรงกับ 16 แพลตฟอร์มโฆษณาจริง

มีเพียงส่วนเล็ก ๆ ของการรับส่งข้อมูลที่พวกเขาถูกเปลี่ยนเส้นทางไปยังเพย์โหลดจริง เพื่อหลีกเลี่ยงการตรวจจับและการวิเคราะห์ เซอร์โคเนียมใช้วิธีหลีกเลี่ยง APT31 ใช้เทคนิคที่เรียกว่าลายนิ้วมือ เป็นกระบวนการที่อาชญากรไซเบอร์รวบรวมข้อมูลเกี่ยวกับระบบของผู้ที่อาจตกเป็นเหยื่อเพื่อกำหนดเป้าหมายเฉพาะส่วนของผู้ชมได้แม่นยำยิ่งขึ้น เป้าหมายของอาชญากรไซเบอร์เมื่อใช้ลายนิ้วมือคือการหลีกเลี่ยงการตรวจจับ เพื่อจุดประสงค์นั้น พวกเขาจะใช้ JavaScript ในเบราว์เซอร์เพื่อลองและตรวจสอบว่าสคริปต์กำลังทำงานกับเครื่องสแกนความปลอดภัยหรือไม่ หากตรวจพบสัญญาณของสแกนเนอร์ เพย์โหลดจะไม่ถูกส่ง มีความเสี่ยงที่เกี่ยวข้องกับการพิมพ์ลายนิ้วมือ สคริปต์นี้ปรากฏแก่ทุกคนที่ค้นหาและอาจสร้างความสงสัย แต่การพิมพ์ลายนิ้วมือช่วยให้มีการปรับใช้เพย์โหลดจำนวนมากขึ้น

APT31 ใช้ประโยชน์จากกลยุทธ์ลับๆ ล่อๆ

มีวิธีอื่นในการหลบเลี่ยงการตรวจจับที่ไม่เกี่ยวข้องกับการเรียกใช้สคริปต์ทางฝั่งผู้ใช้ กลไกฝั่งเซิร์ฟเวอร์สามารถนำไปใช้ได้อย่างปลอดภัยกว่า เนื่องจากนักวิจัยด้านความปลอดภัยจะไม่สามารถวิเคราะห์กลไกเหล่านี้ได้เว้นแต่จะทริกเกอร์ วิธีหนึ่งดังกล่าวคือการตรวจสอบว่า IP ของผู้ใช้เป็น IP ของดาต้าเซ็นเตอร์หรือไม่ เครื่องสแกนมักใช้ IP ของดาต้าเซ็นเตอร์และการตรวจจับ IP ดังกล่าวจะเป็นสัญญาณที่ชัดเจนที่จะไม่ปรับใช้เพย์โหลด

แม้จะมีการดำเนินการโฆษณามัลแวร์ของ APT31 ในระดับที่น่าประทับใจ แต่นักวิจัยด้านความปลอดภัยยังคงระบุจุดสนใจหลักของพวกเขาคือการขโมยทรัพย์สินทางปัญญา ขอบเขตที่แท้จริงของการดำเนินงานทั้งหมดของเซอร์โคเนียมยังไม่เป็นที่ทราบแน่ชัด เนื่องจากยังมีศักยภาพที่จะทำอันตรายได้

มาแรง

เข้าชมมากที่สุด

กำลังโหลด...