RedDelta

A RedDelta az infosec közösség által egy rendkívül aktív APT (Advanced Persistent Threat) csoport megjelölése. Vannak erős kapcsolatok, amelyek arra utalnak, hogy a RedDelta egy kínai szponzorált fenyegetési szereplő. A csoport célpontjai szinte mindig összhangban vannak a kínai kormány érdekeivel. A csoportnak tulajdonított legutóbbi támadási kampányok egyike több katolikus egyházzal kapcsolatos szervezet ellen indult. Az áldozatok között volt a Vatikán és a hongkongi katolikus egyházmegye is. A célpontok között szerepelt a hongkongi kínai tanulmányi misszió és az olaszországi Pápai Külmissziók Intézete (PIME). A művelet előtt mindkét szervezetet nem sorolták a kínai támogatású hackercsoportok érdeklődésére számot tartó entitások közé.

A Kínához igazodó APT-csoportok által végzett műveletek sok átfedést mutatnak a TTP-k (taktika, technikák és eljárások) tekintetében, amikor különbséget kell tenni a RedDelta és a Mustang Panda néven ismert csoport között (amelyet BRONZE PRESIDENT és HoneyMyte néven is követnek). , különösen. A kutatók azonban elég megkülönböztető jellemzőt találtak ahhoz, hogy ezeket a támadássorozatokat nagy biztonsággal a RedDeltának tulajdonítsák. Az egyedi szempontok közé tartozik a PlugX változat használata eltérő konfigurációs titkosítási módszerrel, a fertőzési láncot nem tulajdonították más csoportokhoz, a célpontok listáján pedig szerepelnek indiai bűnüldöző és kormányzati szervek, valamint egy indonéz kormányzati szervezet.

Támadási lánc

A testreszabott PlugX rakományt az áldozat gépére egy csali e-mailen keresztül juttatják el, amely mellékletként fegyveres dokumentumot tartalmaz. Az egyik támadásnál a csalogató dokumentumot kifejezetten a hongkongi kínai tanulmányi misszió jelenlegi vezetőjének címezték. Az erősen célzott jelleg arra utal, hogy a RedDelta elfoghatott egy hivatalos vatikáni dokumentumot, amelyet később fegyveresítettek. Az is nagyon valószínű, hogy a hackerek egy feltört Vactica-fiókot használtak a csalogató üzenet elküldésére. Ugyanez a PlugX változat két másik adathalász csaliban is megtalálható. Ezúttal a csalidokumentumok a Catholic Asian News Union of Catholic Asian News "About China Plan for the Hong Kong Security law.doc" című híradásának utánzatai voltak, valamint egy másik, a Vatikánnal kapcsolatos, "QUM, IL VATICANO DELL'ISLAM.doc" nevű fájl. '

A telepítés után a PlugX hasznos adatátviteli csatornát hoz létre a Command-and-Control (C2, C&C) infrastruktúrával, amely minden megfigyelt támadásnál ugyanaz volt. A C2 tartomány a systeminfor[.]com címen volt. A kompromittált rendszerekbe szállított utolsó szakaszban a rosszindulatú programok a távoli hozzáférésű trójai Poison Ivy és Cobalt Strike. A RedDelta célja az érzékeny belső kommunikációhoz való hozzáférés, valamint a kiválasztott célpontok közötti kapcsolatok monitorozása volt.