APT31/Zirconium

APT31 是一个高级持续威胁组织，专注于知识产权盗窃和恶意广告。该组也被不同的安全组织称为 Zirconium、Judgment Panda 和 Bronze Vinewood。与大多数其他 APT 组织一样，有人怀疑 APT31 可能是由国家赞助的，在这种情况下，疑似国家是中国。 2020 年夏天，谷歌威胁分析小组表示，APT31 正在通过网络钓鱼电子邮件针对乔·拜登的总统竞选活动。

最近 TAG 看到中国 APT 组织针对拜登竞选人员和伊朗 APT 以网络钓鱼攻击特朗普竞选人员。没有妥协的迹象。我们向用户发送了我们的政府攻击警告，并提到了联邦执法部门。 https://t.co/ozlRL4SwhG

- Shane Huntley (@ShaneHuntley) 2020 年 6 月 4 日

APT31 的强制重定向流程

早在 2017 年，APT31 就在运行着最大的恶意广告活动。该集团创建了不少于28家虚假广告公司。据 Confiant 称，Zirconium 已经购买了大约 10 亿次广告浏览量，并且成功地获得了所有广告货币化网站的 62%。 APT31 使用的主要攻击媒介是强制重定向。当浏览网站的人被重定向到另一个网站而用户没有采取任何行动时，就会发生强制重定向。用户最终访问的网站通常被用作骗局的一部分或导致恶意软件感染。

MyAdsBro 主页截图 - 来源：Confiant.com 博客

APT31 创建并使用假广告代理公司 Beginads 与广告平台建立关系。最终，它成为了 Zirconium 用于为所有虚假代理机构的所有活动引导流量的域。 APT31 努力确保他们与许多真实的广告平台建立了合法的关系。这种方法也使该计划具有一定的弹性，并使其不太可能引起怀疑。 APT31 还将流量转售给联盟营销平台。这种安排意味着 APT31 不必自己操作登录页面。 网络犯罪分子走得更远，创建了一个他们自己运营的附属网络。该网络被称为 MyAdsBro。 APT31 过去通过 MyAdsBro 运行自己的广告系列，但其他人也可以将流量推送到 MyAdsBro 以收取佣金。

客户网页面板截图 - 来源：Confiant.com 博客

重定向发生后，用户会被诱使通过一些最流行的策略进行感染：

• 伪造的 Adobe Flash Player 更新弹出窗口
• 虚假防病毒弹出窗口
• 技术支持诈骗
• 各种恐吓信息

APT31 在建立他们的计划并使其看起来合法时不遗余力。所有的假机构都有各种营销材料，假官员在社交媒体上有个人资料，甚至在上述媒体上发布内容独特的帖子。 Zirconium 的大部分量产公司都是在 2017 年春季推出的。并非所有 28 家都被使用，因为其中 8 家从未开始在社交媒体上露面，也没有参与任何广告活动。网络犯罪分子的努力显然是成功的。 APT31 的虚假代理商设法与 16 个真实广告平台建立了直接的业务关系。

他们只有一小部分流量被重定向到实际的有效负载。为了避免检测和分析，Zirconium 使用了逃避方法。 APT31 采用了一种称为指纹识别的技术。在这个过程中，网络犯罪分子收集有关潜在受害者系统的信息，以更准确地针对特定受众群体。网络犯罪分子在使用指纹识别时的目标是避免检测。为此，他们会在浏览器中使用 JavaScript 来尝试确定脚本是否针对安全扫描程序运行。如果检测到扫描仪的迹象，则不会传送有效载荷。指纹识别存在风险。该脚本对任何寻找它的人都是可见的，这可能会引起怀疑，但指纹识别允许更多数量的有效负载部署。

APT31 利用其偷偷摸摸的策略

还有其他不涉及在用户端运行脚本的方法来逃避检测。服务器端机制可以更安全地应用，因为除非触发，否则安全研究人员将无法分析它们。一种这样的方法是检查用户的 IP 是否是数据中心 IP。扫描器通常使用数据中心 IP，检测到此类 IP 将是不部署有效负载的明确标志。

尽管 APT31 恶意广告活动的规模令人印象深刻，但安全研究人员仍将他们的主要重点确定为知识产权盗窃。 Zirconium 的所有操作的真正范围仍然未知，因为它们可能造成危害。