RedDelta
Το RedDelta είναι ο χαρακτηρισμός που δίνεται από την κοινότητα infosec σε μια εξαιρετικά ενεργή ομάδα APT (Advanced Persistent Threat). Υπάρχουν ισχυροί σύνδεσμοι που υποδηλώνουν ότι η RedDelta είναι ένας παράγοντας απειλών που υποστηρίζεται από την Κίνα. Οι στόχοι της ομάδας σχεδόν πάντα ευθυγραμμίζονται με τα συμφέροντα της κινεζικής κυβέρνησης. Μία από τις τελευταίες εκστρατείες επιθέσεων που αποδίδονται στην ομάδα ξεκίνησε εναντίον πολλών οργανώσεων που σχετίζονται με την Καθολική Εκκλησία. Ανάμεσα στα θύματα ήταν το Βατικανό και η Καθολική Επισκοπή του Χονγκ Κονγκ. Οι στόχοι περιελάμβαναν επίσης τη Μελέτη του Χονγκ Κονγκ στην Κίνα και το Ποντιφικό Ινστιτούτο Ξένων Αποστολών (PIME), Ιταλία. Και οι δύο οργανισμοί δεν έχουν ταξινομηθεί ως οντότητες ενδιαφέροντος για ομάδες χάκερ που υποστηρίζονται από την Κίνα πριν από αυτήν την επιχείρηση.
Οι λειτουργίες που πραγματοποιούνται από ομάδες APT ευθυγραμμισμένες με την Κίνα εμφανίζουν πολλές επικαλύψεις όσον αφορά τα TTP (τακτική, τεχνικές και διαδικασίες) όσον αφορά τη διαφοροποίηση μεταξύ της RedDelta και μιας ομάδας γνωστής ως Mustang Panda (επίσης παρακολουθείται ως BRONZE PRESIDENT και HoneyMyte) , ειδικά. Ωστόσο, οι ερευνητές έχουν βρει αρκετά διακριτικά χαρακτηριστικά για να αποδώσουν αυτές τις σειρές επιθέσεων με υψηλή εμπιστοσύνη στο RedDelta. Οι μοναδικές πτυχές περιλαμβάνουν τη χρήση μιας παραλλαγής PlugX με διαφορετική μέθοδο κρυπτογράφησης διαμόρφωσης, η αλυσίδα μόλυνσης δεν έχει αποδοθεί σε άλλες ομάδες και η λίστα των στόχων περιλαμβάνει αρχές επιβολής του νόμου και κυβερνητικές οντότητες από την Ινδία, καθώς και έναν κυβερνητικό οργανισμό της Ινδονησίας.
Αλυσίδα επίθεσης
Το προσαρμοσμένο ωφέλιμο φορτίο PlugX παραδίδεται στο μηχάνημα του θύματος μέσω email με δόλωμα που φέρει ένα οπλισμένο έγγραφο ως συνημμένο. Σε μία από τις επιθέσεις, το έγγραφο δέλεαρ απευθυνόταν συγκεκριμένα στον σημερινό επικεφαλής της αποστολής μελέτης του Χονγκ Κονγκ στην Κίνα. Η ιδιαίτερα στοχευμένη φύση υποδηλώνει ότι η RedDelta μπορεί να είχε υποκλέψει ένα επίσημο έγγραφο του Βατικανού που στη συνέχεια οπλίστηκε με όπλα. Είναι επίσης πολύ πιθανό οι χάκερ να χρησιμοποίησαν έναν παραβιασμένο λογαριασμό Vactica για να στείλουν το μήνυμα δέλεαρ. Η ίδια παραλλαγή PlugX βρέθηκε επίσης μέσα σε δύο άλλα θέλγητρα phishing. Αυτή τη φορά τα έγγραφα δόλωμα ήταν μια απομίμηση μιας πραγματικής ειδησεογραφίας από την Ένωση Καθολικών Ασιατικών Ειδήσεων με την ονομασία «Σχετικά με το σχέδιο της Κίνας για το νόμο ασφαλείας του Χονγκ Κονγκ.doc» και ένα άλλο αρχείο σχετικό με το Βατικανό με το όνομα «QUM, IL VATICANO DELL'ISLAM.doc '
Μόλις αναπτυχθεί, το ωφέλιμο φορτίο PlugX δημιουργεί ένα κανάλι επικοινωνίας με την υποδομή Command-and-Control (C2, C&C), το οποίο ήταν το ίδιο για όλες τις παρατηρούμενες επιθέσεις. Ο τομέας C2 βρισκόταν στη διεύθυνση systeminfor[.]com. Τα ωφέλιμα φορτία κακόβουλου λογισμικού τελευταίου σταδίου που παραδίδονται στα παραβιασμένα συστήματα είναι τα Trojans Poison Ivy και Cobalt Strike απομακρυσμένης πρόσβασης. Στόχος του RedDelta ήταν να αποκτήσει πρόσβαση σε ευαίσθητες εσωτερικές επικοινωνίες, καθώς και να παρακολουθεί τις σχέσεις μεταξύ επιλεγμένων στόχων.
