APT31/Zirconium

APT31は、知的財産の盗難とマルバタイジングに焦点を当てたAdvanced PersistentThreatグループです。このグループは、さまざまなセキュリティ組織によって、ジルコニウム、ジャッジメントパンダ、ブロンズバインウッドとも呼ばれています。他のほとんどのAPTグループと同様に、APT31は国が後援している可能性があり、この場合、疑わしい国は中国です。 2020年の夏、Google Threat Analysis Groupは、APT31がジョーバイデンの大統領選挙キャンペーンをフィッシングメールで標的にしていることを示唆しました。

最近、TAGは、中国のAPTグループがバイデンのキャンペーンスタッフを標的にし、イランのAPTがトランプのキャンペーンスタッフをフィッシングで標的にしているのを見ました。妥協の兆候はありません。ユーザーに政府の攻撃警告を送信し、連邦法執行機関に照会しました。 https://t.co/ozlRL4SwhG

—シェーンハントリー（@ShaneHuntley） 2020年6月4日

APT31の強制リダイレクトプロセス

2017年に、APT31は最大のマルバタイジング操作を実行していました。このグループは28社以上の偽の広告会社を設立しました。 Confiantによると、Zirconiumは約10億回の広告ビューを購入し、広告化されたすべてのWebサイトの62％を獲得することができました。使用された主な攻撃ベクトルAPT31は、強制リダイレクトでした。強制リダイレクトは、ユーザーがアクションを実行せずにWebサイトを閲覧しているユーザーが別のWebサイトにリダイレクトされた場合に発生します。ユーザーが最終的にアクセスするWebサイトは、一般的に詐欺の一部として使用されるか、マルウェア感染につながります。

MyAdsBroホームページのスクリーンショット-出典：Confiant.comブログ

APT31は、偽の広告代理店であるBeginadsを作成して使用し、広告プラットフォームとの関係を確立しました。将来的には、Zirconiumがすべての偽のエージェンシーのすべてのキャンペーンのトラフィックを誘導するために使用するドメインになりました。 APT31は、多くの実際の広告プラットフォームと合法的に見える関係を築くために一生懸命働きました。このアプローチはまた、スキームにある程度の回復力を与え、疑惑を提起する可能性を低くしました。 APT31はまた、アフィリエイトマーケティングプラットフォームにトラフィックを転売しました。この配置は、APT31が独自にランディングページを操作する必要がないことを意味しました。 サイバー犯罪者はさらに進んで、彼ら自身が運営するアフィリエイトネットワークを作成しました。ネットワークはMyAdsBroと呼ばれていました。 APT31は、以前はMyAdsBroを介して独自のキャンペーンを実行していましたが、他の人も手数料のためにトラフィックをMyAdsBroにプッシュすることができました。

顧客のWebパネルのスクリーンショット-出典：Confiant.comブログ

リダイレクトが行われると、ユーザーは最も一般的な戦術のいくつかを介して感染を有効にするように誘惑されました。

• 偽のAdobeFlashPlayerアップデートポップアップ
• 偽のウイルス対策ポップアップ
• テクニカルサポート詐欺
• さまざまなスケアウェアメッセージ

APT31は、スキームを確立し、それを合法的に見せるために非常に長い時間を費やしました。すべての偽のエージェンシーは、さまざまなマーケティング資料、ソーシャルメディアにプロフィールを持つ偽の役員、さらには独自のコンテンツを含むメディアへの投稿さえ持っていました。ジルコニウムの大量生産企業のほとんどは2017年春に立ち上げられました。28社すべてが使用されたわけではありません。そのうち8社はソーシャルメディアでのプレゼンスを開始したことがなく、 広告活動にも関与していませんでした。サイバー犯罪者の努力は明らかに成功しました。 APT31の偽の代理店は、16の実際の広告プラットフォームと直接的なビジネス関係を築くことができました。

実際のペイロードにリダイレクトされたトラフィックのごく一部のみ。検出と分析を回避するために、ジルコニウムは回避方法を使用しました。 APT31は、フィンガープリントと呼ばれる手法を採用しました。これは、サイバー犯罪者が潜在的な被害者のシステムに関する情報を収集して、聴衆の特定の部分をより正確に標的にするプロセスです。フィンガープリントを使用する場合のサイバー犯罪者の目的は、検出を回避することです。そのために、彼らはブラウザでJavaScriptを使用して、スクリプトがセキュリティスキャナーに対して実行されているかどうかを確認しようとしました。スキャナーの兆候が検出された場合、ペイロードは配信されません。フィンガープリントにはリスクが伴います。スクリプトはそれを探している人なら誰でも見ることができ、疑わしいかもしれませんが、フィンガープリントを使用すると、ペイロードの展開数を増やすことができます。

APT31はその卑劣な戦術を活用します

ユーザー側でスクリプトを実行することを伴わない、検出を回避する他の方法があります。サーバー側のメカニズムは、セキュリティ研究者がトリガーしない限り分析できないため、より安全に適用できます。そのようなアプローチの1つは、ユーザーのIPがデータセンターのIPであるかどうかを確認することです。スキャナーはデータセンターのIPを使用することが多く、そのようなIPを検出することは、ペイロードを展開しないことの明確な兆候です。

APT31のマルバタイジング操作の印象的な規模にもかかわらず、セキュリティ研究者は依然として彼らの主な焦点が知的財産の盗難であると特定しています。ジルコニウムのすべての事業の実際の範囲は、害を及ぼす可能性があるため、まだ不明です。