RedDelta
RedDelta je označení dané komunitou infosec vysoce aktivní skupině APT (Advanced Persistent Threat). Existují silné vazby naznačující, že RedDelta je čínským hrozbou sponzorovaným aktérem. Cíle skupiny jsou téměř vždy v souladu se zájmy čínské vlády. Jedna z posledních útočných kampaní připisovaných této skupině byla zahájena proti několika organizacím souvisejícím s katolickou církví. Mezi oběťmi byl Vatikán a katolická diecéze Hong Kong. Mezi cíle patřila také Hongkongská studijní mise v Číně a Papežský institut pro zahraniční mise (PIME), Itálie. Obě organizace nebyly před touto operací klasifikovány jako subjekty zájmu čínských hackerských skupin.
Operace prováděné čínskými skupinami APT se hodně překrývají, pokud jde o TTP (taktika, techniky a postupy), pokud jde o rozlišení mezi RedDeltou a skupinou známou jako Mustang Panda (také sledovaná jako BRONZE PRESIDENT a HoneyMyte) , zvláště. Vědci však našli dostatek rozlišovacích charakteristik, aby tyto série útoků s vysokou spolehlivostí připsali RedDelta. Mezi jedinečné aspekty patří použití varianty PlugX s odlišnou konfigurační šifrovací metodou, infekční řetězec nebyl připsán jiným skupinám a seznam cílů zahrnuje orgány činné v trestním řízení a vládní subjekty z Indie a také indonéskou vládní organizaci.
Útočný řetězec
Přizpůsobená užitečná zátěž PlugX je doručena do stroje oběti prostřednictvím e-mailu s návnadou, který jako přílohu obsahuje dokument se zbraní. Při jednom z útoků byl dokument s návnadou adresován konkrétně současnému vedoucímu studijní mise v Hongkongu v Číně. Vysoce cílená povaha naznačuje, že RedDelta mohla zachytit oficiální vatikánský dokument, který byl následně použit jako zbraň. Je také vysoce pravděpodobné, že hackeři k odeslání zprávy s návnadou použili kompromitovaný účet Vactica. Stejná varianta PlugX byla také nalezena uvnitř dvou dalších phishingových návnad. Tentokrát byly dokumenty s návnadou napodobeninou skutečných zpráv od Union of Catholic Asian News s názvem „O čínském plánu pro Hongkongské bezpečnostní právo.doc“ a dalšího souboru souvisejícího s Vatikánem s názvem „QUM, IL VATICANO DELL'ISLAM.doc '
Po nasazení vytvoří užitečné zatížení PlugX komunikační kanál s infrastrukturou Command-and-Control (C2, C&C), která byla stejná pro všechny pozorované útoky. Doména C2 byla umístěna na adrese systeminfo[.]com. Poslední fází malwaru, který byl doručen do napadených systémů, jsou trojské koně Poison Ivy a Cobalt Strike pro vzdálený přístup. Cílem RedDelta bylo získat přístup k citlivé interní komunikaci a také monitorovat vztahy mezi vybranými cíli.
