RedDelta
RedDelta एक अत्यधिक सक्रिय APT (Advanced Persistent Threat) समूह को infosec समुदाय द्वारा दिया गया पदनाम है। ऐसे मजबूत लिंक हैं जो बताते हैं कि रेडडेल्टा एक चीनी प्रायोजित खतरा अभिनेता है। समूह के लक्ष्य लगभग हमेशा चीनी सरकार के हितों के अनुरूप होते हैं। समूह के लिए जिम्मेदार नवीनतम हमले अभियानों में से एक कई कैथोलिक चर्च से संबंधित संगठनों के खिलाफ शुरू किया गया था। पीड़ितों में वेटिकन और हांगकांग के कैथोलिक सूबा शामिल थे। लक्ष्यों में चीन के लिए हांगकांग अध्ययन मिशन और इटली के विदेश मिशन के लिए पोंटिफिकल इंस्टीट्यूट (पीआईएमई) भी शामिल थे। इस ऑपरेशन से पहले दोनों संगठनों को चीनी समर्थित हैकर समूहों के लिए रुचि की संस्थाओं के रूप में वर्गीकृत नहीं किया गया है।
रेडडेल्टा और मस्टैंग पांडा (जिसे कांस्य राष्ट्रपति और हनीमाईटे के रूप में भी ट्रैक किया जाता है) के बीच अंतर करने की बात आती है, जब टीटीपी (रणनीति, तकनीक और प्रक्रिया) की बात आती है, तो चीनी-संरेखित एपीटी समूहों द्वारा किए गए संचालन बहुत अधिक ओवरलैप प्रदर्शित करते हैं। , विशेष रूप से। हालांकि, शोधकर्ताओं ने रेडडेल्टा को उच्च आत्मविश्वास के साथ हमलों की इन श्रृंखलाओं का श्रेय देने के लिए पर्याप्त विशिष्ट विशेषताओं को पाया है। अद्वितीय पहलुओं में एक अलग कॉन्फ़िगरेशन एन्क्रिप्शन विधि के साथ प्लगएक्स संस्करण का उपयोग शामिल है, संक्रमण श्रृंखला को अन्य समूहों के लिए जिम्मेदार नहीं ठहराया गया है, और लक्ष्यों की सूची में भारत से कानून प्रवर्तन और सरकारी संस्थाओं के साथ-साथ एक इंडोनेशियाई सरकारी संगठन भी शामिल है।
अटैक चेन
अनुकूलित प्लगएक्स पेलोड को एक अटैचमेंट के रूप में हथियारयुक्त दस्तावेज़ ले जाने वाले बैट ईमेल के माध्यम से पीड़ित की मशीन तक पहुंचाया जाता है। हमलों में से एक में, विशेष रूप से चीन में हांगकांग अध्ययन मिशन के वर्तमान प्रमुख को लालच दस्तावेज़ को संबोधित किया गया था। उच्च-लक्षित प्रकृति से पता चलता है कि रेडडेल्टा ने एक आधिकारिक वेटिकन दस्तावेज़ को इंटरसेप्ट किया हो सकता है जिसे बाद में हथियार बनाया गया था। यह भी अत्यधिक संभावना है कि हैकर्स ने लुभावने संदेश भेजने के लिए एक समझौता किए गए वेटिका खाते का उपयोग किया हो। वही प्लगएक्स वैरिएंट दो अन्य फ़िशिंग ल्यूर के अंदर भी पाया गया था। इस बार बैट दस्तावेज़ यूनियन ऑफ़ कैथोलिक एशियन न्यूज़ की ओर से 'अबाउट चाइनाज़ प्लान फॉर हॉन्ग कॉन्ग सिक्योरिटी लॉ.डॉक' नामक एक समाचार बुलेटिन और 'क्यूएम, आईएल वैटिकनो डेल'आईएसएलएम.डॉक नामक एक अन्य वेटिकन-संबंधित फ़ाइल की नकल थे। '
एक बार तैनात होने के बाद, प्लगएक्स पेलोड कमांड-एंड-कंट्रोल (सी 2, सी एंड सी) बुनियादी ढांचे के साथ एक संचार चैनल स्थापित करता है, जो सभी देखे गए हमलों के लिए समान था। C2 डोमेन systeminfor[.]com पते पर स्थित था। अंतिम चरण के मैलवेयर पेलोड समझौता किए गए सिस्टम को दिए गए रिमोट एक्सेस ट्रोजन पॉइज़न आइवी और कोबाल्ट स्ट्राइक हैं। रेडडेल्टा का लक्ष्य संवेदनशील आंतरिक संचार तक पहुंच प्राप्त करना था, साथ ही चुने हुए लक्ष्यों के बीच संबंधों की निगरानी करना था।
