RedDelta

RedDelta هو التعيين الذي قدمه مجتمع المعلومات لمجموعة APT (التهديد المستمر المتقدم) النشطة للغاية. هناك روابط قوية تشير إلى أن RedDelta هو ممثل تهديد ترعاه الصين. تتوافق أهداف المجموعة دائمًا مع مصالح الحكومة الصينية. تم شن واحدة من أحدث حملات الهجوم المنسوبة للجماعة ضد العديد من المنظمات المرتبطة بالكنيسة الكاثوليكية. وكان من بين الضحايا الفاتيكان وأبرشية هونج كونج الكاثوليكية. وشملت الأهداف أيضًا بعثة دراسة هونج كونج إلى الصين والمعهد البابوي للبعثات الأجنبية (PIME) بإيطاليا. لم يتم تصنيف كلتا المنظمتين على أنهما كيانان مهمان لمجموعات المتسللين المدعومة من الصين قبل هذه العملية.

تعرض العمليات التي تنفذها مجموعات APT المتحالفة مع الصين الكثير من التداخلات عندما يتعلق الأمر بـ TTP (التكتيكات والتقنيات والإجراءات) عندما يتعلق الأمر بالتمييز بين RedDelta ومجموعة تُعرف باسم Mustang Panda (تم تتبعها أيضًا باسم BRONZE PRESIDENT و HoneyMyte) ، خصوصا. ومع ذلك ، فقد وجد الباحثون خصائص مميزة كافية لعزو هذه السلسلة من الهجمات بثقة عالية إلى RedDelta. تشمل الجوانب الفريدة استخدام متغير PlugX مع طريقة تشفير تكوين مختلفة ، ولم تُنسب سلسلة العدوى إلى مجموعات أخرى ، وتشمل قائمة الأهداف هيئات إنفاذ القانون والهيئات الحكومية من الهند بالإضافة إلى منظمة حكومية إندونيسية.

سلسلة الهجوم

يتم تسليم حمولة PlugX المخصصة إلى جهاز الضحية من خلال بريد إلكتروني للطعم يحمل مستندًا مسلحًا كمرفق. في أحد الهجمات ، تم توجيه وثيقة الإغراء إلى الرئيس الحالي لبعثة دراسة هونج كونج إلى الصين على وجه التحديد. تشير الطبيعة شديدة الاستهداف إلى أن RedDelta ربما اعترض وثيقة رسمية للفاتيكان تم تسليحها لاحقًا. من المحتمل أيضًا أن يكون المتسللون قد استخدموا حساب Vactica المخترق لإرسال رسالة الإغراء. تم العثور على متغير PlugX نفسه أيضًا داخل اثنين من أساليب التصيد الاحتيالي الأخرى. هذه المرة كانت وثائق الطعم تقليدًا لنشرة إخبارية حقيقية من اتحاد الأخبار الآسيوية الكاثوليكية بعنوان "حول خطة الصين لقانون الأمن في هونج كونج. doc" وملف آخر متعلق بالفاتيكان باسم "QUM، IL VATICANO DELL'ISLAM.doc" "

بمجرد نشرها ، تنشئ حمولة PlugX قناة اتصال مع البنية التحتية للقيادة والتحكم (C2 ، C&C) ، والتي كانت هي نفسها لجميع الهجمات التي تمت ملاحظتها. كان المجال C2 موجودًا على عنوان systeminfor [.] com. حمولات البرامج الضارة في المرحلة الأخيرة التي يتم تسليمها إلى الأنظمة المخترقة هي الوصول عن بُعد إلى Trojans Poison Ivy و Cobalt Strike. كان الهدف من RedDelta هو الوصول إلى الاتصالات الداخلية الحساسة ، وكذلك مراقبة العلاقات بين الأهداف المختارة.