APT31/Zirconium

Ang APT31 ay isang Advanced Persistent Threat group na may pagtuon sa pagnanakaw ng intelektwal na ari-arian at malvertising. Ang grupong ito ay tinatawag ding Zirconium, Judgment Panda, at Bronze Vinewood ng iba't ibang organisasyong panseguridad. Tulad ng karamihan sa iba pang mga grupo ng APT, may mga hinala na ang APT31 ay maaaring isponsor ng estado at sa kasong ito ang pinaghihinalaang estado ay ang China. Noong tag-araw ng 2020, iminungkahi ng Google Threat Analysis Group na tina-target ng APT31 ang presidential campaign ni Joe Biden gamit ang mga phishing na email.

Kamakailan ay nakita ng TAG ang China APT group na nagta-target sa Biden campaign staff at Iran APT na nagta-target ng Trump campaign staff gamit ang phishing. Walang tanda ng kompromiso. Nagpadala kami sa mga user ng aming babala sa pag-atake ng gobyerno at tinukoy namin ang fed na nagpapatupad ng batas. https://t.co/ozlRL4SwhG

— Shane Huntley (@ShaneHuntley) Hunyo 4, 2020

Proseso ng Sapilitang Pag-redirect ng APT31

Noong 2017, pinapatakbo ng APT31 ang pinakamalaking operasyon ng malvertising. Ang grupo ay lumikha ng hindi bababa sa 28 pekeng kumpanya ng advertisement. Ayon sa Confiant, ang Zirconium ay bumili ng humigit-kumulang 1 bilyong panonood ng ad at nagawa nitong makuha ang 62% ng lahat ng mga website na pinagkakakitaan ng ad. Ang pangunahing attack vector na APT31 na ginamit ay ang sapilitang pag-redirect. Ang sapilitang pag-redirect ay nangyayari kapag ang isang taong nagba-browse sa isang website ay na-redirect sa isa pang website nang hindi gumagawa ng anumang aksyon ang user. Ang website kung saan napupunta ang user ay karaniwang ginagamit bilang bahagi ng isang scam o humahantong sa impeksyon ng malware.

Screenshot ng homepage ng MyAdsBro - pinagmulan: Confiant.com blog

Ginawa at ginamit ng APT31 ang Beginads, isang pekeng ahensya ng ad, upang magtatag ng mga ugnayan sa mga platform ng ad. Sa huli, ito ang naging domain na gagamitin ng Zirconium upang idirekta ang trapiko para sa lahat ng mga kampanya ng lahat ng kanilang mga pekeng ahensya. Ang APT31 ay nagsumikap nang husto upang matiyak na sila ay may mga lehitimong naghahanap ng mga relasyon sa isang bilang ng mga tunay na platform ng ad. Ang diskarte na ito ay nagbigay din sa scheme ng ilang katatagan at ginawa itong mas malamang na magtaas ng mga hinala. Ang APT31 ay nagbenta rin ng trapiko sa mga kaakibat na platform ng marketing. Nangangahulugan ang pagsasaayos na ito na hindi kailangang patakbuhin ng APT31 ang mga landing page nang mag-isa. Ang mga cybercriminal ay lumayo pa , lumikha ng isang kaakibat na network na sila mismo ang nagpapatakbo. Ang network ay tinawag na MyAdsBro. Ang APT31 ay dating nagpapatakbo ng kanilang sariling mga kampanya sa pamamagitan ng MyAdsBro ngunit ang iba ay maaari ring itulak ang trapiko sa MyAdsBro para sa isang komisyon.

Screenshot ng customer web panel - pinagmulan: Confiant.com blog

Kapag naganap ang mga pag-redirect, naengganyo ang mga user na paganahin ang impeksyon sa pamamagitan ng ilan sa mga pinakasikat na taktika:

• Mga pop-up ng pag-update ng pekeng Adobe Flash Player
• Mga pekeng antivirus pop-up
• Mga scam sa suporta sa tech
• Iba't ibang mga mensahe ng scareware

Napakahirap ng ginawa ng APT31 nang itatag ang kanilang scheme at ginagawa itong lehitimo. Ang lahat ng pekeng ahensya ay may iba't ibang materyal sa marketing, mga pekeng opisyal na may mga profile sa social media, at maging ang mga post sa nasabing media na may kakaibang nilalaman. Karamihan sa mga mass-produced na kumpanya ng Zirconium na inilunsad noong Spring ng 2017. Hindi lahat ng 28 ay ginamit dahil 8 sa kanila ay hindi kailanman nagsimula ng kanilang presensya sa social media at hindi nasangkot sa anumang aktibidad sa advertisement . Ang mga pagsisikap ng cybercriminal ay malinaw na matagumpay. Nagawa ng mga pekeng ahensya ng APT31 na lumikha ng mga direktang relasyon sa negosyo na may 16 na tunay na platform ng ad.

Maliit na bahagi lamang ng trapiko ang na-redirect nila sa isang aktwal na payload. Upang maiwasan ang pagtuklas at pagsusuri, gumamit ang Zirconium ng mga paraan ng pag-iwas. Gumamit ang APT31 ng isang pamamaraan na tinatawag na fingerprinting. Ito ay isang proseso kung saan nangongolekta ang mga cybercriminal ng impormasyon tungkol sa mga system ng mga potensyal na biktima para mas tumpak na ma-target ang isang partikular na bahagi ng audience. Ang layunin ng mga cybercriminal kapag gumagamit ng fingerprinting ay upang maiwasan ang pagtuklas. Sa layuning iyon, gagamitin nila ang JavaScript sa browser upang subukan at tiyakin kung ang script ay tumatakbo laban sa isang scanner ng seguridad. Kung may nakitang mga palatandaan ng isang scanner, hindi maihahatid ang payload. May panganib na kasangkot sa fingerprinting. Ang script ay makikita ng sinumang naghahanap nito at maaaring magpataas ng hinala, ngunit ang fingerprinting ay nagbibigay-daan para sa mas mataas na bilang ng mga deployment ng payload.

Ginagamit ng APT31 ang Mga Palihim na Taktika nito

Mayroong iba pang mga paraan upang maiwasan ang pagtuklas na hindi kasama ang pagpapatakbo ng script sa panig ng user. Ang mga mekanismo sa gilid ng server ay maaaring maging mas ligtas na ilapat dahil hindi magagawang suriin ng isang mananaliksik ng seguridad ang mga ito maliban kung mag-trigger ang mga ito. Ang isang ganoong diskarte ay upang suriin kung ang IP ng gumagamit ay isang IP ng datacenter. Madalas na gumagamit ang mga scanner ng mga IP ng datacenter at ang pag-detect ng naturang IP ay magiging isang malinaw na senyales para hindi i-deploy ang payload.

Sa kabila ng kahanga-hangang sukat ng operasyon ng malvertising ng APT31, tinutukoy pa rin ng mga mananaliksik sa seguridad ang kanilang pangunahing pokus ay ang pagnanakaw ng intelektwal na ari-arian. Ang tunay na saklaw ng lahat ng mga operasyon ng Zirconium ay hindi pa rin alam at ang kanilang potensyal na gumawa ng pinsala.