RedDelta

RedDelta és la designació donada per la comunitat infosec a un grup APT (Advanced Persistent Threat) molt actiu. Hi ha forts vincles que suggereixen que RedDelta és un actor d'amenaces patrocinat per la Xina. Els objectius del grup gairebé sempre s'alineen amb els interessos del govern xinès. Una de les darreres campanyes d'atac atribuïdes al grup es va llançar contra diverses organitzacions relacionades amb l'Església catòlica. Entre les víctimes hi havia el Vaticà i la diòcesi catòlica de Hong Kong. Els objectius també inclouen la Missió d'Estudi de Hong Kong a la Xina i el Pontifici Institut per a Missions Estrangeres (PIME), Itàlia. Ambdues organitzacions no han estat classificades com a entitats d'interès per als grups de pirates informàtics recolzats per la Xina abans d'aquesta operació.

Les operacions realitzades per grups d'APT alineats amb la Xina mostren moltes superposicions quan es tracta de TTP (tàctica, tècniques i procediments) a l'hora de diferenciar entre RedDelta i un grup conegut com a Mustang Panda (també seguit com a BRONZE PRESIDENT i HoneyMyte) , especialment. Tanmateix, els investigadors han trobat prou característiques distintives per atribuir aquesta sèrie d'atacs amb gran confiança a RedDelta. Els aspectes únics inclouen l'ús d'una variant de PlugX amb un mètode de xifratge de configuració diferent, la cadena d'infecció no s'ha atribuït a altres grups i la llista d'objectius inclou entitats policials i governamentals de l'Índia, així com una organització governamental indonèsia.

Cadena d'atac

La càrrega útil de PlugX personalitzada s'envia a la màquina de la víctima mitjançant un correu electrònic d'esquer que porta un document armat com a fitxer adjunt. En un dels atacs, el document d'esquer es va dirigir específicament a l'actual cap de la Missió d'Estudi de Hong Kong a la Xina. La naturalesa altament focalitzada suggereix que RedDelta podria haver interceptat un document oficial del Vaticà que es va armar posteriorment. També és molt probable que els pirates informàtics hagin utilitzat un compte de Vactica compromès per enviar el missatge de l'esquer. La mateixa variant de PlugX també es va trobar dins d'altres dos esquers de pesca. Aquesta vegada, els documents d'esquer eren una imitació d'una notícia real de la Union of Catholic Asian News anomenada "Sobre el pla de la Xina per a la llei de seguretat de Hong Kong.doc" i un altre fitxer relacionat amb el Vaticà anomenat "QUM, IL VATICANO DELL'ISLAM.doc". '

Un cop desplegada, la càrrega útil PlugX estableix un canal de comunicació amb la infraestructura de comandament i control (C2, C&C), que era la mateixa per a tots els atacs observats. El domini C2 es trobava a l'adreça systeminfor[.]com. Les càrregues útils de programari maliciós de l'última etapa lliurades als sistemes compromesos són els troians d'accés remot Poison Ivy i Cobalt Strike. L'objectiu de RedDelta era accedir a comunicacions internes sensibles, així com controlar les relacions entre els objectius escollits.

Tendència

Més vist

Carregant...