RedDelta

RedDelta е обозначението, дадено от общността на infosec на силно активна APT (Advanced Persistent Threat) група. Има силни връзки, които предполагат, че RedDelta е спонсориран от Китай заплаха. Целите на групата почти винаги са в съответствие с интересите на китайското правителство. Една от последните кампании за атака, приписвана на групата, беше стартирана срещу няколко организации, свързани с Католическата църква. Сред жертвите са Ватикана и католическата епархия на Хонконг. Целите включват също учебната мисия на Хонконг в Китай и Папския институт за чуждестранни мисии (PIME), Италия. И двете организации не са били класифицирани като субекти от интерес за подкрепяни от Китай хакерски групи преди тази операция.

Операциите, извършени от китайско подравнени APT групи, показват много припокривания, когато става въпрос за TTP (тактика, техники и процедури), когато става въпрос за разграничаване между RedDelta и група, известна като Mustang Panda (също проследявана като BRONZE PRESIDENT и HoneyMyte) , особено. Въпреки това, изследователите са открили достатъчно отличителни характеристики, за да припишат тези серии от атаки с висока увереност на RedDelta. Уникалните аспекти включват използването на вариант PlugX с различен метод за криптиране на конфигурацията, веригата на заразяване не е приписана на други групи, а списъкът с мишени включва правоприлагащи органи и правителствени организации от Индия, както и индонезийска правителствена организация.

Атакуваща верига

Персонализираният PlugX полезен товар се доставя до машината на жертвата чрез имейл за примамка, носещ въоръжен документ като прикачен файл. При една от атаките документът за примамка е адресиран специално до настоящия ръководител на изследователската мисия в Хонконг в Китай. Силно насоченият характер предполага, че RedDelta може да е прихванала официален документ от Ватикана, който впоследствие е бил въоръжен. Също така е много вероятно хакерите да са използвали компрометиран акаунт на Vactica, за да изпратят съобщението за примамка. Същият вариант на PlugX също беше открит в две други фишинг примамки. Този път документите за примамка бяха имитация на истински бюлетин с новини от Съюза на католическите азиатски новини, наречен „Относно плана на Китай за закон за сигурност в Хонконг.doc“ и друг файл, свързан с Ватикана, наречен „QUM, IL VATICANO DELL'ISLAM.doc '

Веднъж разгърнат, полезният товар PlugX установява комуникационен канал с инфраструктурата за командване и контрол (C2, C&C), който е един и същ за всички наблюдавани атаки. Домейнът C2 се намираше на адреса systeminfor[.]com. Полезните натоварвания на злонамерен софтуер от последния етап, доставени на компрометираните системи, са троянците за отдалечен достъп Poison Ivy и Cobalt Strike. Целта на RedDelta беше да получи достъп до чувствителни вътрешни комуникации, както и да наблюдава отношенията между избраните цели.

Тенденция

Най-гледан

Зареждане...