APT31/Zirconium

APT31 是一個高級持續威脅組織，專注於知識產權盜竊和惡意廣告。該組也被不同的安全組織稱為 Zirconium、Judgment Panda 和 Bronze Vinewood。與大多數其他 APT 組織一樣，有人懷疑 APT31 可能是由國家贊助的，在這種情況下，疑似國家是中國。 2020 年夏天，谷歌威脅分析小組表示，APT31 正在通過網絡釣魚電子郵件針對喬·拜登的總統競選活動。

最近 TAG 看到中國 APT 組織針對拜登競選人員和伊朗 APT 以網絡釣魚攻擊特朗普競選人員。沒有妥協的跡象。我們向用戶發送了我們的政府攻擊警告，並提到了聯邦執法部門。 https://t.co/ozlRL4SwhG

- Shane Huntley (@ShaneHuntley) 2020 年 6 月 4 日

APT31 的強制重定向流程

早在 2017 年，APT31 就在運行著最大的惡意廣告活動。該集團創建了不少於28家虛假廣告公司。據 Confiant 稱，Zirconium 已經購買了大約 10 億次廣告瀏覽量，並且成功地獲得了所有廣告貨幣化網站的 62%。 APT31 使用的主要攻擊媒介是強制重定向。當瀏覽網站的人被重定向到另一個網站而用戶沒有採取任何行動時，就會發生強制重定向。用戶最終訪問的網站通常被用作騙局的一部分或導致惡意軟件感染。

MyAdsBro 主頁截圖 - 來源：Confiant.com 博客

APT31 創建並使用假廣告代理公司 Beginads 與廣告平台建立關係。最終，它成為了 Zirconium 用於為所有虛假代理機構的所有活動引導流量的域。 APT31 努力確保他們與許多真實的廣告平台建立了合法的關係。這種方法也使該計劃具有一定的彈性，並使其不太可能引起懷疑。 APT31 還將流量轉售給聯盟營銷平台。這種安排意味著 APT31 不必自己操作登錄頁面。 網絡犯罪分子走得更遠，創建了一個他們自己運營的附屬網絡。該網絡被稱為 MyAdsBro。 APT31 過去通過 MyAdsBro 運行自己的廣告系列，但其他人也可以將流量推送到 MyAdsBro 以收取佣金。

客戶網頁面板截圖 - 來源：Confiant.com 博客

重定向發生後，用戶會被誘使通過一些最流行的策略進行感染：

• 偽造的 Adobe Flash Player 更新彈出窗口
• 虛假防病毒彈出窗口
• 技術支持詐騙
• 各種恐嚇信息

APT31 在建立他們的計劃並使其看起來合法時不遺餘力。所有的假機構都有各種營銷材料，假官員在社交媒體上有個人資料，甚至在上述媒體上發佈內容獨特的帖子。 Zirconium 的大部分量產公司都是在 2017 年春季推出的。並非所有 28 家都被使用，因為其中 8 家從未開始在社交媒體上露面，也沒有參與任何廣告活動。網絡犯罪分子的努力顯然是成功的。 APT31 的虛假代理商設法與 16 個真實廣告平台建立了直接的業務關係。

他們只有一小部分流量被重定向到實際的有效負載。為了避免檢測和分析，Zirconium 使用了逃避方法。 APT31 採用了一種稱為指紋識別的技術。在這個過程中，網絡犯罪分子收集有關潛在受害者係統的信息，以更準確地針對特定受眾群體。網絡犯罪分子在使用指紋識別時的目標是避免檢測。為此，他們會在瀏覽器中使用 JavaScript 來嘗試確定腳本是否針對安全掃描程序運行。如果檢測到掃描儀的跡象，則不會傳送有效載荷。指紋識別存在風險。該腳本對任何尋找它的人都是可見的，這可能會引起懷疑，但指紋識別允許更多數量的有效負載部署。

APT31 利用其偷偷摸摸的策略

還有其他不涉及在用戶端運行腳本的方法來逃避檢測。服務器端機制可以更安全地應用，因為除非觸發，否則安全研究人員將無法分析它們。一種這樣的方法是檢查用戶的 IP 是否是數據中心 IP。掃描器通常使用數據中心 IP，檢測到此類 IP 將是不部署有效負載的明確標誌。

儘管 APT31 惡意廣告活動的規模令人印象深刻，但安全研究人員仍將他們的主要重點確定為知識產權盜竊。 Zirconium 的所有操作的真正範圍仍然未知，因為它們可能造成危害。