RedDelta

RedDelta è la designazione data dalla comunità infosec a un gruppo APT (Advanced Persistent Threat) molto attivo. Ci sono forti collegamenti che suggeriscono che RedDelta sia un attore di minacce sponsorizzato dalla Cina. Gli obiettivi del gruppo sono quasi sempre in linea con gli interessi del governo cinese. Una delle ultime campagne di attacco attribuite al gruppo è stata lanciata contro diverse organizzazioni legate alla Chiesa cattolica. Tra le vittime anche il Vaticano e la diocesi cattolica di Hong Kong. Tra gli obiettivi anche la Missione di studio di Hong Kong in Cina e il Pontificio Istituto Missioni Estere (PIME), Italia. Entrambe le organizzazioni non sono state classificate come entità di interesse per i gruppi di hacker sostenuti dalla Cina prima di questa operazione.

Le operazioni svolte dai gruppi APT allineati alla Cina mostrano molte sovrapposizioni quando si tratta di TTP (tattica, tecniche e procedure) quando si tratta di differenziare tra RedDelta e un gruppo noto come Mustang Panda (anche tracciato come BRONZE PRESIDENT e HoneyMyte) , particolarmente. Tuttavia, i ricercatori hanno trovato sufficienti caratteristiche distintive per attribuire queste serie di attacchi con alta sicurezza a RedDelta. Gli aspetti unici includono l'uso di una variante PlugX con un diverso metodo di crittografia della configurazione, la catena di infezione non è stata attribuita ad altri gruppi e l'elenco degli obiettivi include le forze dell'ordine e le entità governative dell'India, nonché un'organizzazione governativa indonesiana.

Catena d'attacco

Il payload PlugX personalizzato viene consegnato alla macchina della vittima tramite un'e-mail esca che contiene un documento armato come allegato. In uno degli attacchi, il documento di richiamo è stato indirizzato specificamente all'attuale capo della missione di studio di Hong Kong in Cina. La natura altamente mirata suggerisce che RedDelta potrebbe aver intercettato un documento ufficiale del Vaticano che è stato successivamente armato. È anche molto probabile che gli hacker abbiano utilizzato un account Vactica compromesso per inviare il messaggio di richiamo. La stessa variante PlugX è stata trovata anche all'interno di altre due esche di phishing. Questa volta i documenti esca erano un'imitazione del vero bollettino di notizie dell'Union of Catholic Asian News chiamato "About China's plan for Hong Kong security law.doc" e un altro file relativo al Vaticano chiamato "QUM, IL VATICANO DELL'ISLAM.doc '

Una volta implementato, il payload PlugX stabilisce un canale di comunicazione con l'infrastruttura Command-and-Control (C2, C&C), che era lo stesso per tutti gli attacchi osservati. Il dominio C2 si trovava all'indirizzo systeminfor[.]com. Gli ultimi payload di malware consegnati ai sistemi compromessi sono i Trojan ad accesso remoto Poison Ivy e Cobalt Strike. L'obiettivo di RedDelta era quello di accedere a comunicazioni interne sensibili, oltre a monitorare le relazioni tra i target prescelti.