APT31 / Zirconium

APT31 là một nhóm Mối đe dọa liên tục nâng cao tập trung vào hành vi trộm cắp tài sản trí tuệ và quảng cáo độc hại. Nhóm này còn được các tổ chức bảo mật khác nhau gọi là Zirconium, Judgment Panda, và Bronze Vinewood. Giống như hầu hết các nhóm APT khác, có những nghi ngờ rằng APT31 có thể được nhà nước bảo trợ và trong trường hợp này, quốc gia bị nghi ngờ là Trung Quốc. Vào mùa hè năm 2020, Nhóm phân tích mối đe dọa của Google cho rằng APT31 đang nhắm mục tiêu vào chiến dịch tranh cử tổng thống của Joe Biden bằng các email lừa đảo.

Gần đây TAG đã chứng kiến nhóm APT của Trung Quốc nhắm mục tiêu vào nhân viên chiến dịch Biden và APT của Iran nhắm mục tiêu vào nhân viên chiến dịch của Trump với hành vi lừa đảo. Không có dấu hiệu của sự thỏa hiệp. Chúng tôi đã gửi cho người dùng cảnh báo tấn công chính phủ của chúng tôi và chúng tôi đã đề cập đến cơ quan thực thi pháp luật được cấp phép. https://t.co/ozlRL4SwhG

- Shane Huntley (@ShaneHuntley) ngày 4 tháng 6 năm 2020

Quy trình chuyển hướng cưỡng bức của APT31

Trở lại năm 2017, APT31 đang thực hiện hoạt động quảng cáo độc hại lớn nhất. Nhóm này đã tạo ra không dưới 28 công ty quảng cáo giả mạo. Theo Confiant, Zirconium đã mua được khoảng 1 tỷ lượt xem quảng cáo và đã có mặt trên 62% tất cả các trang web kiếm tiền từ quảng cáo. Vectơ tấn công chính APT31 được sử dụng là chuyển hướng cưỡng bức. Chuyển hướng bắt buộc xảy ra khi ai đó đang duyệt một trang web được chuyển hướng đến một trang web khác mà người dùng không thực hiện bất kỳ hành động nào. Trang web mà người dùng truy cập thường được sử dụng như một phần của trò lừa đảo hoặc dẫn đến việc lây nhiễm phần mềm độc hại.

Ảnh chụp màn hình trang chủ MyAdsBro - nguồn: blog Confiant.com

APT31 đã tạo và sử dụng Beginads, một đại lý quảng cáo giả mạo, để thiết lập mối quan hệ với các nền tảng quảng cáo. Tóm lại, nó đã trở thành miền mà Zirconium sẽ sử dụng để định hướng lưu lượng truy cập cho tất cả các chiến dịch của tất cả các cơ quan giả mạo của họ. APT31 đã làm việc chăm chỉ để đảm bảo rằng họ có mối quan hệ hợp pháp với một số nền tảng quảng cáo thực. Cách tiếp cận này cũng mang lại cho kế hoạch một số khả năng phục hồi và khiến nó ít có khả năng gây ra nghi ngờ hơn. APT31 cũng bán lại lưu lượng truy cập cho các nền tảng tiếp thị liên kết. Sự sắp xếp này có nghĩa là APT31 không phải tự vận hành các trang đích. Tội phạm mạng còn tiến xa hơn , tạo ra một mạng lưới liên kết do chúng tự vận hành. Mạng được gọi là MyAdsBro. APT31 được sử dụng để chạy các chiến dịch của riêng họ thông qua MyAdsBro nhưng những người khác cũng có thể đẩy lưu lượng truy cập đến MyAdsBro để nhận hoa hồng.

Ảnh chụp màn hình bảng điều khiển web của khách hàng - nguồn: blog Confiant.com

Sau khi chuyển hướng diễn ra, người dùng đã bị lôi kéo để kích hoạt sự lây nhiễm thông qua một số chiến thuật phổ biến nhất:

• Cửa sổ bật lên cập nhật Adobe Flash Player giả mạo
• Cửa sổ bật lên chống vi-rút giả mạo
• Lừa đảo hỗ trợ công nghệ
• Các thông báo về phần mềm hù dọa khác nhau

APT31 đã đi rất nhiều thời gian khi thiết lập chương trình của họ và làm cho nó trông hợp pháp. Tất cả các cơ quan giả mạo đều có nhiều tài liệu tiếp thị khác nhau, các sĩ quan giả mạo có hồ sơ trên phương tiện truyền thông xã hội, và thậm chí đăng trên các phương tiện truyền thông nói trên với nội dung độc đáo. Hầu hết các công ty sản xuất hàng loạt của Zirconium ra mắt vào mùa xuân năm 2017. Không phải tất cả 28 công ty đều được sử dụng vì 8 công ty trong số đó chưa bao giờ bắt đầu xuất hiện trên mạng xã hội và không tham gia vào bất kỳ hoạt động quảng cáo nào. Những nỗ lực của tội phạm mạng rõ ràng đã thành công. Các đại lý giả mạo của APT31 đã quản lý để tạo ra các mối quan hệ kinh doanh trực tiếp với 16 nền tảng quảng cáo thực.

Chỉ một phần nhỏ lưu lượng truy cập mà họ được chuyển hướng đến một trọng tải thực tế. Để tránh bị phát hiện và phân tích, Zirconium đã sử dụng các phương pháp trốn tránh. APT31 sử dụng một kỹ thuật gọi là lấy dấu vân tay. Đó là một quá trình mà tội phạm mạng thu thập thông tin về hệ thống của các nạn nhân tiềm năng để nhắm mục tiêu chính xác hơn vào một bộ phận khán giả cụ thể. Mục tiêu của tội phạm mạng khi sử dụng dấu vân tay là để tránh bị phát hiện. Với mục đích đó, họ sẽ sử dụng JavaScript trong trình duyệt để thử và xác định liệu tập lệnh có chạy chống lại máy quét bảo mật hay không. Nếu dấu hiệu của máy quét được phát hiện, trọng tải sẽ không được phân phối. Có một rủi ro liên quan đến việc lấy dấu vân tay. Tập lệnh hiển thị cho bất kỳ ai đang tìm kiếm nó và điều đó có thể làm dấy lên nghi ngờ, nhưng việc lấy dấu vân tay cho phép số lượng triển khai tải trọng cao hơn.

APT31 tận dụng các chiến thuật lén lút của nó

Có những cách khác để tránh bị phát hiện không liên quan đến việc chạy tập lệnh từ phía người dùng. Các cơ chế phía máy chủ có thể an toàn hơn khi áp dụng vì một nhà nghiên cứu bảo mật sẽ không thể phân tích chúng trừ khi chúng được kích hoạt. Một trong những cách tiếp cận như vậy là kiểm tra xem IP của người dùng có phải là IP trung tâm dữ liệu hay không. Máy quét thường sử dụng IP trung tâm dữ liệu và việc phát hiện IP như vậy sẽ là một dấu hiệu rõ ràng để không triển khai tải trọng.

Bất chấp quy mô ấn tượng của hoạt động quảng cáo độc hại APT31, các nhà nghiên cứu bảo mật vẫn xác định trọng tâm chính của họ là hành vi trộm cắp tài sản trí tuệ. Hiện vẫn chưa rõ phạm vi thực sự của tất cả các hoạt động của Zirconium cũng như khả năng gây hại của chúng.