RedDelta

RedDelta on infosec-yhteisön antama nimitys erittäin aktiiviselle APT-ryhmälle (Advanced Persistent Threat). On olemassa vahvoja yhteyksiä, jotka viittaavat siihen, että RedDelta on Kiinan sponsoroima uhkatoimija. Ryhmän tavoitteet ovat lähes aina linjassa Kiinan hallituksen etujen kanssa. Yksi viimeisimmistä ryhmän syyksi katsotuista hyökkäyskampanjoista käynnistettiin useita katoliseen kirkkoon liittyviä järjestöjä vastaan. Uhrien joukossa oli Vatikaani ja Hongkongin katolinen hiippakunta. Kohteisiin kuuluivat myös Hongkongin tutkimuslähetystö Kiinaan ja Pontifical Institute for Foreign Missions (PIME), Italia. Molempia organisaatioita ei ole luokiteltu Kiinan tukemien hakkeriryhmien kiinnostaviksi kokonaisuuksiksi ennen tätä operaatiota.

Kiinalaisten APT-ryhmien suorittamissa operaatioissa on paljon päällekkäisyyksiä TTP:iden (taktiikka, tekniikat ja menettelyt) suhteen, kun on kyse RedDeltan ja Mustang Pandan (jota seurataan myös nimellä BRONZE PRESIDENT ja HoneyMyte) erottaminen toisistaan. , varsinkin. Tutkijat ovat kuitenkin löytäneet tarpeeksi erottavia piirteitä, jotta nämä hyökkäyssarjat voidaan luottaa RedDeltaan. Ainutlaatuisia näkökohtia ovat PlugX-variantin käyttö eri konfiguraation salausmenetelmällä, tartuntaketjua ei ole liitetty muihin ryhmiin, ja kohteiden luettelossa on Intian lainvalvonta- ja hallintoelimiä sekä Indonesian hallitusorganisaatio.

Hyökkäysketju

Räätälöity PlugX-hyötykuorma toimitetaan uhrin koneelle syöttisähköpostin kautta, jonka liitteenä on asetettu asiakirja. Yhdessä hyökkäyksessä houkutusasiakirja osoitettiin nimenomaan Hongkongin Kiinan tutkimuslähetystön nykyiselle johtajalle. Erittäin kohdennettu luonne viittaa siihen, että RedDelta on saattanut siepata virallisen Vatikaanin asiakirjan, joka myöhemmin asetettiin. On myös erittäin todennäköistä, että hakkerit käyttivät vaarantunutta Vactica-tiliä houkutusviestin lähettämiseen. Sama PlugX-variantti löytyi myös kahdesta muusta phishing-vieheestä. Tällä kertaa syöttidokumentit olivat jäljitelmä todellisesta uutiskirjeestä Union of Catholic Asian Newsista nimeltä "Kiinan suunnitelmasta Hongkongin turvallisuuslaki.doc" ja toisesta Vatikaaniin liittyvästä tiedostosta nimeltä "QUM, IL VATICANO DELL'ISLAM.doc". '

Kun PlugX-hyötykuorma on otettu käyttöön, se muodostaa viestintäkanavan Command-and-Control (C2, C&C) -infrastruktuurin kanssa, joka oli sama kaikissa havaituissa hyökkäyksissä. C2-verkkotunnus sijaitsi osoitteessa systeminfor[.]com. Viimeisen vaiheen haittaohjelmien hyötykuormat, jotka on toimitettu vaarantuneisiin järjestelmiin, ovat etäkäyttötroijalaiset Poison Ivy ja Cobalt Strike. RedDeltan tavoitteena oli päästä käsiksi arkaluontoiseen sisäiseen viestintään sekä seurata valittujen kohteiden välisiä suhteita.