RedDelta

تا CagedTech در Advanced Persistent Threat (APT)

ترجمه به:

RedDelta نامی است که توسط جامعه infosec به یک گروه بسیار فعال APT (تهدید پایدار پیشرفته) داده شده است. پیوندهای قوی وجود دارد که نشان می دهد RedDelta یک بازیگر تهدید کننده تحت حمایت چین است. اهداف این گروه تقریباً همیشه با منافع دولت چین هماهنگ است. یکی از آخرین کمپین های حمله منتسب به این گروه علیه چندین سازمان مرتبط با کلیسای کاتولیک راه اندازی شد. قربانیان شامل واتیکان و اسقف کاتولیک هنگ کنگ بودند. این اهداف همچنین شامل مأموریت مطالعاتی هنگ کنگ در چین و مؤسسه پاپی برای مأموریت های خارجی (PIME)، ایتالیا بود. هر دو سازمان قبل از این عملیات به عنوان نهادهای مورد علاقه گروه های هکری تحت حمایت چین طبقه بندی نشده بودند.

عملیات‌های انجام‌شده توسط گروه‌های APT همسو با چین، هنگام تمایز بین RedDelta و گروهی به نام Mustang Panda (همچنین با عنوان BRONZE PRESIDENT و HoneyMyte دنبال می‌شوند)، همپوشانی‌های زیادی را در مورد TTPها (تاکتیک، تکنیک‌ها و رویه‌ها) نشان می‌دهند. ، بخصوص. با این حال، محققان به اندازه کافی ویژگی های متمایز پیدا کرده اند تا این سری از حملات را با اطمینان بالا به RedDelta نسبت دهند. جنبه های منحصر به فرد شامل استفاده از یک نوع PlugX با روش رمزگذاری پیکربندی متفاوت است، زنجیره عفونت به گروه های دیگر نسبت داده نشده است، و لیست اهداف شامل مجری قانون و نهادهای دولتی از هند و همچنین یک سازمان دولتی اندونزی است.

زنجیره حمله

محموله سفارشی PlugX از طریق یک ایمیل طعمه حاوی یک سند مسلح به عنوان پیوست به دستگاه قربانی تحویل داده می شود. در یکی از این حملات، سند فریب به طور خاص خطاب به رئیس فعلی مأموریت مطالعاتی هنگ کنگ در چین بود. ماهیت بسیار هدفمند نشان می دهد که RedDelta ممکن است یک سند رسمی واتیکان را که متعاقباً مورد استفاده قرار گرفته بود، رهگیری کرده باشد. همچنین این احتمال وجود دارد که هکرها از یک حساب کاربری Vactica در معرض خطر برای ارسال پیام فریب استفاده کرده باشند. همان نوع PlugX نیز در داخل دو فریب دیگر فیشینگ یافت شد. این بار اسناد طعمه تقلیدی از یک گلوله خبری واقعی از اتحادیه اخبار کاتولیک آسیایی به نام «درباره طرح چین برای قانون امنیتی هنگ کنگ.doc» و یک فایل دیگر مرتبط با واتیکان به نام «QUM, IL VATICANO DELL'ISLAM.doc» بود. '

پس از استقرار، بار PlugX یک کانال ارتباطی با زیرساخت فرماندهی و کنترل (C2, C&C) ایجاد می کند که برای همه حملات مشاهده شده یکسان بود. دامنه C2 در آدرس systeminfor[.]com قرار داشت. آخرین مرحله بارهای بدافزار تحویل داده شده به سیستم های در معرض خطر، تروجان های Poison Ivy و Cobalt Strike با دسترسی از راه دور هستند. هدف RedDelta دسترسی به ارتباطات داخلی حساس و همچنین نظارت بر روابط بین اهداف انتخاب شده بود.

جستجو کردن

تغییر منطقه

RedDelta

ثبت کردن نظر

پرطرفدار

Safe Search Eng

MyWallPaper

Grounding Conductor Ransomware

پربیننده ترین

آیا Lookmovie.io ایمن است؟

DNS Unlocker

کلاهبرداری ایمیل "جوخه گیک".