RedDelta

RedDelta er betegnelsen, der gives af infosec-samfundet til en meget aktiv APT-gruppe (Advanced Persistent Threat). Der er stærke links, der tyder på, at RedDelta er en kinesisk sponsoreret trusselsaktør. Gruppens mål svarer næsten altid til den kinesiske regerings interesser. En af de seneste angrebskampagner, der blev tilskrevet gruppen, blev lanceret mod flere katolske kirkerelaterede organisationer. Ofrene omfattede Vatikanet og det katolske bispedømme Hong Kong. Målene omfattede også Hongkongs studiemission til Kina og Det pavelige institut for udenlandske missioner (PIME), Italien. Begge organisationer er ikke blevet klassificeret som enheder af interesse for kinesisk-støttede hackergrupper før denne operation.

Operationer udført af kinesisk-tilpassede APT-grupper viser en masse overlapninger, når det kommer til TTP'er (taktik, teknikker og procedurer), når det kommer til at skelne mellem RedDelta og en gruppe kendt som Mustang Panda (også sporet som BRONZE PRESIDENT og HoneyMyte) , især. Imidlertid har forskere fundet tilstrækkelige kendetegn til at tilskrive disse serier af angreb med høj tillid til RedDelta. De unikke aspekter inkluderer brugen af en PlugX-variant med en anden konfigurationskrypteringsmetode, infektionskæden er ikke tilskrevet andre grupper, og listen over mål inkluderer retshåndhævelse og regeringsenheder fra Indien samt en indonesisk regeringsorganisation.

Angrebskæde

Den tilpassede PlugX-nyttelast leveres til offerets maskine via en lokkemad-e-mail, der bærer et våben dokument som en vedhæftet fil. I et af angrebene blev lokningsdokumentet specifikt rettet til den nuværende leder af Hong Kong Study Mission til Kina specifikt. Den meget målrettede natur antyder, at RedDelta muligvis har aflyttet et officielt Vatikan-dokument, der blev våbnet efterfølgende. Det er også meget sandsynligt, at hackerne brugte en kompromitteret Vactica-konto til at sende lokkebeskeden. Den samme PlugX-variant blev også fundet i to andre phishing-lokker. Denne gang var lokkedokumenterne en efterligning af ægte en nyhedsbulleting fra Union of Catholic Asian News med navnet 'Om Kinas plan for Hong Kongs sikkerhedslov.doc' og en anden Vatikanrelateret fil ved navn 'QUM, IL VATICANO DELL'ISLAM.doc ''

Efter implementering opretter PlugX-nyttelast en kommunikationskanal med Command-and-Control (C2, C&C) -infrastrukturen, som var den samme for alle observerede angreb. C2-domænet var placeret på systeminfor [.] Com-adressen. Sidste trin malware nyttelast leveret til kompromitterede systemer er Trojans Poison Ivy og Cobalt Strike med fjernadgang. Målet med RedDelta var at få adgang til følsom intern kommunikation samt overvåge forholdet mellem valgte mål.