রেডডেল্টা
RedDelta হল একটি অত্যন্ত সক্রিয় APT (Advanced Persistent Threat) গ্রুপকে infosec সম্প্রদায়ের দেওয়া উপাধি। রেডডেল্টা একটি চীনা-স্পন্সর হুমকি অভিনেতা যে পরামর্শ দেয় শক্তিশালী লিঙ্ক আছে। গোষ্ঠীর লক্ষ্যগুলি প্রায় সবসময় চীনা সরকারের স্বার্থের সাথে সারিবদ্ধ হয়। গ্রুপটির জন্য দায়ী করা সর্বশেষ আক্রমণের একটি প্রচারণা চালানো হয়েছিল বেশ কয়েকটি ক্যাথলিক চার্চ-সম্পর্কিত সংস্থার বিরুদ্ধে। আক্রান্তদের মধ্যে ভ্যাটিকান এবং হংকংয়ের ক্যাথলিক ডায়োসিস অন্তর্ভুক্ত ছিল। লক্ষ্যগুলির মধ্যে চীনে হংকং স্টাডি মিশন এবং ইতালির পন্টিফিক্যাল ইনস্টিটিউট ফর ফরেন মিশন (PIME) অন্তর্ভুক্ত ছিল। এই অপারেশনের আগে উভয় সংস্থাকে চীনা-সমর্থিত হ্যাকার গোষ্ঠীর স্বার্থের সত্তা হিসাবে শ্রেণীবদ্ধ করা হয়নি।
রেডডেল্টা এবং মুস্তাং পান্ডা নামে পরিচিত একটি গোষ্ঠীর মধ্যে পার্থক্য করার ক্ষেত্রে যখন TTPs (কৌশল, কৌশল এবং প্রক্রিয়া) আসে তখন চীনা-সারিবদ্ধ APT গোষ্ঠীগুলির দ্বারা পরিচালিত অপারেশনগুলি প্রচুর ওভারল্যাপ প্রদর্শন করে (ব্রোঞ্জের রাষ্ট্রপতি এবং হানিমাইট হিসাবেও ট্র্যাক করা হয়) বিশেষ করে যাইহোক, গবেষকরা রেডডেল্টাকে উচ্চ আত্মবিশ্বাসের সাথে এই সিরিজ আক্রমণগুলির জন্য দায়ী করার জন্য যথেষ্ট আলাদা বৈশিষ্ট্য খুঁজে পেয়েছেন। অনন্য দিকগুলির মধ্যে রয়েছে একটি ভিন্ন কনফিগারেশন এনক্রিপশন পদ্ধতির সাথে একটি প্লাগএক্স বৈকল্পিক ব্যবহার, সংক্রমণের চেইনটি অন্যান্য গোষ্ঠীর জন্য দায়ী করা হয়নি, এবং লক্ষ্যগুলির তালিকায় ভারত থেকে আইন প্রয়োগকারী এবং সরকারী সংস্থাগুলির পাশাপাশি একটি ইন্দোনেশিয়ার সরকারী সংস্থা অন্তর্ভুক্ত রয়েছে৷
অ্যাটাক চেইন
কাস্টমাইজড প্লাগএক্স পেলোডটি একটি সংযুক্তি হিসাবে একটি অস্ত্রযুক্ত নথি বহন করে একটি টোপ ইমেলের মাধ্যমে শিকারের মেশিনে বিতরণ করা হয়। একটি হামলায়, প্রলোভন নথিটি বিশেষভাবে চীনে হংকং স্টাডি মিশনের বর্তমান প্রধানকে সম্বোধন করা হয়েছিল। উচ্চ-লক্ষ্যযুক্ত প্রকৃতি পরামর্শ দেয় যে রেডডেল্টা একটি অফিসিয়াল ভ্যাটিকান নথিতে বাধা দিয়ে থাকতে পারে যা পরবর্তীকালে অস্ত্র করা হয়েছিল। হ্যাকাররা প্রলোভন বার্তা পাঠানোর জন্য একটি আপস করা ভ্যাকটিকা অ্যাকাউন্ট ব্যবহার করেছে বলেও খুব সম্ভবত। একই প্লাগএক্স বৈকল্পিকটি অন্য দুটি ফিশিং লোয়ারের মধ্যেও পাওয়া গেছে। এবারের টোপ নথিগুলি ছিল 'হংকং নিরাপত্তা আইনের জন্য চীনের পরিকল্পনা সম্পর্কে' নামে ইউনিয়ন অফ ক্যাথলিক এশিয়ান নিউজ থেকে প্রকাশিত একটি সংবাদ বুলেটিংয়ের অনুকরণ এবং 'QUM, IL VATICANO DELL'ISLAM.doc নামে আরেকটি ভ্যাটিকান-সম্পর্কিত ফাইল। '
একবার স্থাপন করা হলে, PlugX পেলোড কমান্ড-এন্ড-কন্ট্রোল (C2, C&C) পরিকাঠামোর সাথে একটি যোগাযোগের চ্যানেল স্থাপন করে, যা সমস্ত পর্যবেক্ষণ আক্রমণের জন্য একই ছিল। C2 ডোমেনটি systeminfor[.]com ঠিকানায় অবস্থিত ছিল। শেষ পর্যায়ের ম্যালওয়্যার পেলোডগুলি আপস করা সিস্টেমগুলিতে বিতরণ করা হয় রিমোট অ্যাক্সেস ট্রোজানস পয়জন আইভি এবং কোবাল্ট স্ট্রাইক৷ রেডডেল্টার লক্ষ্য ছিল সংবেদনশীল অভ্যন্তরীণ যোগাযোগে অ্যাক্সেস লাভ করা, সেইসাথে নির্বাচিত লক্ষ্যগুলির মধ্যে সম্পর্ক পর্যবেক্ষণ করা।
