概述
Unit 42 研究人员发现了一个大规模的活动,他们将其命名为 ApateWeb。ApateWeb 使用超过 130,000 个域的网络来分发诈骗页面,例如恐吓软件和潜在有害程序 (PUP)。我们在这些 PUP 中发现了多个广告软件程序。其中包括恶意浏览器和各种浏览器扩展。
此活动中使用的程序不是传统的恶意软件。然而,这些可能成为网络犯罪分子获得初始访问权限的一种手段,最终可能使受害者面临更严重的网络威胁。
攻击者创建欺诈性电子邮件,诱骗受害者点击活动 URL。此外,他们还在网站页面中嵌入 JavaScript,以将流量重定向到其内容。ApateWeb 拥有复杂的基础设施,其中包含多层系统,这些系统执行从恶意负载的入口点到最终交付的一系列中间重定向。
使用集中式基础设施的组织通过跟踪受害者然后将流量引导到活动的下一层来大规模控制入口点。该组织还采取了回避策略。他们试图阻止防御者检测他们的活动,例如通过隐藏恶意内容或利用通配符 DNS。
自 2022 年 8 月以来,我们一直观察到 ApateWeb 活动激增。然而,该活动在 2022 年、2023 年和 2024 年都很活跃。此活动对互联网用户的影响可能很大,因为Tranco 访问的前 100 万个网站中仍然有数百个属于攻击者的网站。
我们的遥测显示,这些网站每月收到来自世界多个地区的数百万次访问,包括美国、欧洲和亚洲。例如,在 2023 年 11 月,我们在 74,711 台设备上阻止了来自此活动的约 350 万个会话。
活动基础设施和工作流程
在本节中,我们将详细探讨该活动,以了解其工作流程、功能和基础设施。它还对活动的入口点 URL 进行沙箱处理,并分析流量和恶意负载。
图 1 分解了该活动的复杂重定向链,并突出显示了需要注意的关键基础设施功能。
图 1. 活动基础设施和工作流程的主要特征
第一层是 ApateWeb 活动的入口点。在第一层中,攻击者通过电子邮件向受害者分发入口点 URL。通过第一层的流量被转发到第二层,在那里经历一系列中间重定向,包括广告软件和反机器人验证,然后到达最后一层,我们将其称为第三层。第三层提供恶意负载,例如恐吓软件、PUP 和欺诈页面。
根据该活动的欺骗策略和逃避安全保护的努力,我们将该活动命名为 ApateWeb。它以希腊神话中欺骗女神阿帕特(Apate)的名字命名。
第 1 层:营销活动入口点
攻击者创建一个自定义 URL 作为活动的入口点,并从那里加载初始有效负载。该有效负载在集中式基础设施上跟踪受害者,并与服务器端共享此信息以确定下一个重定向。
第一层采用多种保护措施来保护自己免受防御者的侵害。他们使用的技术包括以下活动:
重定向至搜索引擎
机器人/爬虫的错误页面显示
通配符 DNS 滥用(允许攻击者生成大量子域)
入口 URL
该活动使用带有特定参数(键、子指标等)的 URL(图 1)。仅当存在这些特定参数时,此活动才会传递恶意内容。如果任何参数被更改或丢失,受害者将看到错误页面或没有内容。
目前还不清楚这些参数的值是如何使用的。我们怀疑这是为内部服务器端使用而定义的(例如确定下一个重定向 URL)。在浏览器中打开入口点 URL 后,活动就会加载初始负载。
初始有效负载
初始有效负载包含两个重要的代码片段。第一个代码片段的示例如图 2 所示。这是一个查询集中式基础设施以跟踪受害者的脚本。
图 2. 使用集中式基础设施跟踪受害者的脚本
对于每次访问该活动的网站,ApateWeb 都会连接到中央服务器,并使用唯一标识符 (UUID) 分配和跟踪每个访问者。当活动连接到中央管理服务器时,最近轮换了以下一组域。
professionalswebcheck[.]com
hightrafficcounter[.]com
proftrafficcounter[.]com
experttrafficmonitor[.]com例如,该活动连接到professionalwebcheck[.]com/stats以检索上面的图 2。该 UUID 存储在 cookie 中,并与服务器端共享(见下文)。
第二个代码片段如图 3 所示。第二个代码片段在 HTML 表单的隐藏字段中设置 UUID,自动提交表单,并在服务器端共享信息。该表单还包含其他数据,包括指示受害者的浏览器选项卡是否为隐身选项卡的标识符。这是一个 HTTP GET 请求,它将信息发送到 URL 路径/api/users/处的服务器。服务器可能会使用此信息来确定下一个重定向。
图 3. 在表单上设置 UUID 的脚本。该表单将自动提交,并且信息将与服务器共享。之后,您将被重定向到下一个级别。
规避战术
此役采用以下规避战术来保护第一梯队免受防守者的攻击。
保护域名免遭检测:如果 ApateWeb 检测到防御者的对策,ApateWeb 将通过显示良性内容来保护攻击者的域名。当有人直接从 ApateWeb 管理的域访问网站时,该域会将他们重定向到流行的搜索引擎或空白页面,如下图 4 所示。仅当受害者的浏览器访问带有特定参数的入口 URL 时,该活动才会将流量转发到下一层。这种策略使得定期扫描网站的安全爬虫很难阻止活动域。
图 4. 通过显示空白页面而不是分发恶意负载来保护网站的域不被安全爬虫阻止
向机器人/爬虫显示错误页面:如果安全爬虫访问入口 URL,ApateWeb 将通过显示错误页面来隐藏自己。该活动通过用户代理检查来检测爬虫和机器人。图 5 显示了同一活动生成的错误页面的内容。
图 5. 活动显示的自定义错误页面。对爬行者隐藏(隐藏)自身
拥有大量注册域名和通配符 DNS: ApateWeb 管理超过 10,000 个注册域名并利用通配符 DNS 。这使得该活动可以创建几乎无限的子域来分发恶意内容。我们发现超过 92% 的 ApateWeb 域使用通配符 DNS 模式来创建子域。例如,我们通过搜索与 Perl 兼容正则表达式 (PCRE) pl[0-9].*匹配的前缀,将 110,000 个子域与 ApateWeb 域相匹配。
这种方法允许 ApateWeb 将入口点 URL 传播到大量随机域中,从而使防御者更难以检测到。
DNS 名称解析
大多数 ApateWeb 域解析为有限数量的服务器。我们查看了与此活动相关的 DNS 活动,发现 93% 的 ApateWeb 域解析为以下 10 个 IP 地址:
192[.]243[.]59[.]20
192[.]243[.]59[.]13
192[.]243[.]59[.]12
192[.]243[.]61[.]227
192[.]243[.]61[.]225
173[.]233[.]139[.]164
173[.]233[.]137[.]60
173[.]233[.]137[.]52
173[.]233[.]137[.]44
173[.]233[.]137[.]36这些IP地址属于两个AS(自治系统)号。前五个 IP ( 192.243.* ) 位于第一个 AS 下,其余五个 IP ( 173.233.* ) 位于第二个 AS 下。
在第一层中,大多数域共享服务器,表明该基础设施由单个组管理。这就是我们首先识别此活动的原因。我们通过分析注册域名的WHOIS数据发现了 ApateWeb 的真实身份。尽管 WHOIS 不再提供注册人信息,但我们发现单个参与者通过经销商注册商 eNom 注册了与该活动相关的 84% 的域名。我们发现了一致的模式。
第 2 层:中间重定向
流量从第一层转发后,第二层会生成一系列中间重定向。目前尚不清楚同一威胁行为者是否同时控制着第一层和第二层。这是因为第二层重定向在传递恶意负载之前使用随机域。在每次测试运行中,相同的第一层条目 URL 在第二层中生成一组不同的重定向。
验证期间重定向的流量要么运行到常见广告软件,要么运行到反机器人验证,我们会在其中停止事件链。
流量转发到流行的广告软件
在某些情况下,第二层重定向流量被定向到广告软件网站,例如tracker-tds[.]info和jpadsnow[.]com 。
重定向 URL 包含与广告软件网站共享的多个参数。检查这些参数后,我们发现我们可以通过简单地将流量引导至广告软件来通过我们的活动获利。
例如,图 4显示了重定向到地址tracker-tds[.]info的 URL 。此 URL有一个名为 COST_CPM 的参数,这是一个常见的广告术语,称为“每英里成本(=1000 次展示)”或“每次展示成本” 。URL 中的其他参数共享与活动相关的信息,例如CAMPAIGN_ID、受害者设备信息BROWSER_NAME和USER_OS 。这些数据允许广告软件组织向 ApateWeb 背后的攻击者支付报酬,或者进一步将此流量重定向到针对受害者操作系统的恶意负载。
图 6.ApateWeb 的第二层 URL 示例。这包括发送到广告软件网站的受害者数据。
反机器人验证
我们进行的一些验证是反机器人验证,会暂停重定向流量并需要人工干预。图 7 中显示了一个这样的示例,其中重定向停止并且浏览器显示验证码。解决验证码会继续将流量重定向到最终页面,从而导致恶意浏览器的下载(图 9)。
图 7. 停止重定向并显示反机器人验证 CAPTCHA 的示例
在测试过程中,我们看到第一层跳过第二层的中间重定向并直接进入第三层的情况。
第 3 层:重定向到最终负载
该攻击链的最后一层是第三层,ApateWeb 到达最后一页。这是恶意负载,可以是 PUP、恐吓软件、通知诈骗等(图 8)。
图 8.ApateWeb 第三层有效负载示例我们没有发现第 1 层和第 3 层之间共享基础设施的证据。这些恶意负载通常托管在公共云环境、ISP 或数据中心中。
最终的内容要么是不需要的程序,要么是某种骗局。
不需要浏览器和扩展程序
ApateWeb 分发的 PUP 示例包括不需要的浏览器扩展(例如 Browse Keeper 和 Go Blocker)以及恶意浏览器可执行文件(例如 Artificus Browser)。在流行的搜索引擎上搜索这些名称将向您显示来自各个将其标识为 PUP 的网站的删除说明。
图 9 是 ApateWeb 的第三级页面之一,它为 Artificius Browser提供了Windows 可执行文件。
图 9.ApateWeb 第三层页面服务 Artificius BrowserArtificius 的入侵行为构成了重大风险。为了通过受害者的活动获利,该浏览器会更新受害者的默认搜索引擎、注入广告并执行不需要的重定向。
每次您打开新选项卡或窗口时,此浏览器都会打开其网站artificius[.]com 。图 10 显示了受害者在 Artificius Browser 的 URL 栏中输入搜索查询时默认搜索引擎的示例。
图 10.Artificius 浏览器在 URL 栏中使用其搜索引擎
ApateWeb PUP 的另一个例子是 Go Blocker 浏览器扩展,它获得了极具侵入性的权限。例如,这包括访问目标访问的网站或执行不需要的重定向。
这些程序本质上是 PUP,本身不被视为传统恶意软件。然而,他们可以通过恶意广告、重定向和潜在的脚本注入等方法为网络犯罪分子提供初始访问权限。这种初始访问可能会使互联网用户暴露于更严重的传统恶意软件,例如勒索软件。
虚假防病毒 (AV) 警报
ApateWeb 还使用恐吓软件分发虚假防病毒警报,诱骗受害者购买正版 AV 软件。请注意,威胁行为者恶意滥用或转移正版产品声誉的情况并不罕见,这并不一定意味着被滥用的正版产品存在错误或恶意。
图 11 显示了一个恐吓软件警报,该警报诱使观众认为他们的设备已被感染。
图 11. 重定向到虚假防病毒警报此警报会将受害者重定向到合法的防病毒产品网站(图 12)。
图 12. 从 ApateWeb 第三层恐吓软件页面重定向的合法防病毒产品网站
此类恐吓软件的最终重定向 URL包含一个类似affid的参数。此参数表明 ApateWeb 可能正在使用联属计划通过此活动获利。
我们的高级 URL 过滤将本文中描述的恶意内容示例归类为灰色软件或网络钓鱼。恐吓软件页面通常被归类为网络钓鱼,而 PUP 和广告软件则被归类为灰色软件。
传播活动
ApateWeb 通过在其他网站上加载脚本或通过欺诈性电子邮件诱骗用户点击 URL 来增加其活动的流量。
重定向嵌入在您网站中的 JavaScript
ApateWeb 背后的威胁参与者正在创建恶意 JavaScript 代码并将其嵌入到其他网页中,以增加其活动的流量。典型的脚本会在网站上创建一个覆盖层,允许点击该网页的受害者被重定向到 ApateWeb 的入口点 URL。
ApateWeb 的 JavaScript 托管在属于使用第一层的攻击者的域上。下面的图 13 显示了嵌入式 JavaScript 的示例。
图 13. AateWeb 嵌入的示例 JavaScript 代码
我们发现 34,000 多个网站中嵌入了类似的脚本。对这些网站的随机抽样表明,大多数网站提供可产生大量流量的成人或流媒体内容。
我们认为 ApateWeb 可能会向这些网站付费,以便在其页面中嵌入活动重定向脚本并从那里引导流量。另一种可能性是这些网站是合法的,但已被 ApateWeb 破坏并嵌入了 JavaScript 代码。然而,我们没有发现任何证据表明这些网站已被入侵。
欺诈性电子邮件
除此之外,ApateWeb 还使用电子邮件将条目 URL 传播到其目标。这些电子邮件具有欺骗性的主题行,使受害者更容易打开邮件并单击 ApateWeb URL 的链接。
这些电子邮件的主题行示例包括:
您的票号 10739979 付款已处理
货件更新 GS813211MC
您是否发送了取消信以丢弃编号为 60817749 的发票
尊敬的用户,您的订单号 16405067 没有未结清的订单
电子邮件和网络流量是 ApateWeb 用于传播 URL 的两个示例,但此活动还可能使用其他分发方法。
结论
在这项研究中,我们剖析了一项名为 ApateWeb 的大规模活动的基础设施。该活动分发了恶意内容,包括恐吓软件、PUP 和其他欺诈性页面。这些分布式程序为网络犯罪分子提供了获得初始访问权限的机会,从而可能使受害者面临更严重的网络威胁。
在本文中,我们将ApateWeb基础设施的复杂重定向系统分为三层并进行了解释。这些层次结构在初始入口点和最终恶意负载之间生成一系列中间重定向。
ApateWeb 的第一层是入口点。此入口点使用主要托管在 10 个 IP 地址上的通配符 DNS 域。该层使用规避策略,例如向机器人和爬虫显示良性内容以避免检测。该层还使用中央管理基础设施来跟踪受害者并将流量从那里转发到第二层。
ApateWeb 的第二层生成一系列中间重定向。这些中间重定向包括广告软件域和反机器人验证页面。该活动的第三层也是最后一层提供了最终的恶意负载。这些有效负载托管在公共云基础设施、IPS 和数据中心上。
攻击者被发现使用电子邮件传播作为其活动入口点的 URL。该活动使用了超过 130,000 个域名的广泛网络,并在 2022 年、2023 年和 2024 年期间保持活跃。该活动对互联网用户的影响可能是巨大的,因为在今年的 Tranco 网站访问排行榜上,仍有数百个网站保持在前 100 万名之内。
我们希望本文能够帮助您保护自己免受此次活动的影响。使用 Palo Alto Networks 的下一代防火墙产品并启用高级 URL 过滤和DNS 安全等订阅的客户在本研究中描述的活动中增强了针对已知 URL 和主机名的保护。Cortex XDR将本文中描述的广告软件标记为“可疑”。
如果您担心违规行为并希望与我们讨论事件响应,请使用此表格联系我们,发送电子邮件至 infojapan@paloaltonetworks.com,或拨打以下号码致电我们。(咨询不仅限于我们产品的客户) 。
北美免费电话:866.486.4842 (866.4.UNIT42)
欧洲、中东和非洲:+31.20.299.3130
亚太地区:+65.6983.8730
日本:(+81) 50-1790-0200
Palo Alto Networks 与网络威胁联盟 (CTA) 的成员分享了这些发现。CTA 成员可以利用这些情报快速为客户提供保护并系统地阻止恶意网络攻击者。详情请查看网络威胁联盟。
IoC(妥协指标)
营销活动入口点示例
featuresscanner[.]com用于跟踪受害者的集中管理基础设施的部分域名
professionalswebcheck[.]com
hightrafficcounter[.]com
proftrafficcounter[.]com
experttrafficmonitor[.]com托管活动入口点的 IP 地址
192[.]243[.]59[.]20
192[.]243[.]59[.]13
192[.]243[.]59[.]12
192[.]243[.]61[.]227
192[.]243[.]61[.]225
173[.]233[.]139[.]164
173[.]233[.]137[.]60
173[.]233[.]137[.]52
173[.]233[.]137[.]44
173[.]233[.]137[.]36流量定向至广告软件
tracker-tds[.]info
jpadsnow[.]com
ad-blocking24[.]net
Myqenad24[.]comPUP 下载示例:
bd62d3808ef29c557da64b412c4422935a641c22e2bdcfe5128c96f2ff5b5e99
artificius[.]com其他活动领域:
hanoola[.]net
allureoutlayterrific[.]com参考链接: https://unit42.paloaltonetworks.jp/apateweb-scareware-pup-delivery-campaign/
图片来源网络目标可联系删除
