RedDelta
RedDelta គឺជាការកំណត់ដែលផ្តល់ដោយសហគមន៍ infosec ដល់ក្រុម APT (Advanced Persistent Threat) ដែលសកម្មខ្លាំង។ មានតំណភ្ជាប់ខ្លាំងដែលបង្ហាញថា RedDelta គឺជាតួអង្គគំរាមកំហែងដែលឧបត្ថម្ភដោយចិន។ គោលដៅរបស់ក្រុមនេះស្ទើរតែតែងតែស្របនឹងផលប្រយោជន៍របស់រដ្ឋាភិបាលចិន។ យុទ្ធនាការវាយប្រហារចុងក្រោយបំផុតមួយដែលត្រូវបានសន្មតថាជាក្រុមនេះ ត្រូវបានចាប់ផ្តើមប្រឆាំងនឹងអង្គការមួយចំនួនដែលទាក់ទងនឹងព្រះវិហារកាតូលិក។ ជនរងគ្រោះរួមមានបុរីវ៉ាទីកង់ និងវិហារកាតូលិកនៃទីក្រុងហុងកុង។ គោលដៅក៏រួមបញ្ចូលបេសកកម្មសិក្សាហុងកុងទៅកាន់ប្រទេសចិន និងវិទ្យាស្ថាន Pontifical សម្រាប់បេសកកម្មបរទេស (PIME) ប្រទេសអ៊ីតាលី។ អង្គការទាំងពីរមិនត្រូវបានចាត់ថ្នាក់ជាអង្គភាពដែលចាប់អារម្មណ៍សម្រាប់ក្រុមហេគឃ័រដែលគាំទ្រដោយចិន មុនពេលប្រតិបត្តិការនេះទេ។
ប្រតិបត្តិការដែលធ្វើឡើងដោយក្រុម APT ដែលមានតម្រឹមចិនបង្ហាញការត្រួតស៊ីគ្នាជាច្រើននៅពេលនិយាយអំពី TTPs (បច្ចេកទេស បច្ចេកទេស និងនីតិវិធី) នៅពេលនិយាយអំពីភាពខុសគ្នារវាង RedDelta និងក្រុមដែលគេស្គាល់ថាជា Mustang Panda (ត្រូវបានតាមដានផងដែរថាជា BRONZE PRESIDENT និង HoneyMyte) ជាពិសេស។ ទោះជាយ៉ាងណាក៏ដោយ អ្នកស្រាវជ្រាវបានរកឃើញលក្ខណៈខុសប្លែកគ្នាគ្រប់គ្រាន់ដើម្បីសន្មតថាជាស៊េរីនៃការវាយប្រហារទាំងនេះដោយមានទំនុកចិត្តខ្ពស់ចំពោះ RedDelta ។ ទិដ្ឋភាពពិសេសរួមមានការប្រើប្រាស់បំរែបំរួល PlugX ជាមួយនឹងវិធីសាស្ត្រអ៊ិនគ្រីបការកំណត់រចនាសម្ព័ន្ធផ្សេងគ្នា ខ្សែសង្វាក់ការឆ្លងមេរោគមិនត្រូវបានកំណត់គុណលក្ខណៈក្រុមផ្សេងទៀតទេ ហើយបញ្ជីគោលដៅរួមមានការអនុវត្តច្បាប់ និងអង្គភាពរដ្ឋាភិបាលមកពីប្រទេសឥណ្ឌា ក៏ដូចជាអង្គការរដ្ឋាភិបាលឥណ្ឌូនេស៊ីផងដែរ។
ខ្សែសង្វាក់វាយប្រហារ
PlugX payload ផ្ទាល់ខ្លួនត្រូវបានបញ្ជូនទៅម៉ាស៊ីនរបស់ជនរងគ្រោះតាមរយៈអ៊ីម៉ែលនុយដែលផ្ទុកឯកសារអាវុធជាឯកសារភ្ជាប់។ ក្នុងការវាយប្រហារមួយ ឯកសារទាក់ទាញត្រូវបានផ្ញើទៅប្រធានបេសកកម្មសិក្សាហុងកុងប្រចាំប្រទេសចិនបច្ចុប្បន្នជាពិសេស។ ធម្មជាតិដែលមានគោលដៅខ្ពស់បង្ហាញថា RedDelta ប្រហែលជាបានស្ទាក់ចាប់ឯកសារផ្លូវការរបស់បុរីវ៉ាទីកង់ដែលត្រូវបានបំពាក់អាវុធជាបន្តបន្ទាប់។ វាក៏ទំនងជាថាពួក Hacker បានប្រើគណនី Vactica ដែលត្រូវបានសម្របសម្រួលដើម្បីផ្ញើសារទាក់ទាញ។ វ៉ារ្យ៉ង់ PlugX ដូចគ្នានេះក៏ត្រូវបានរកឃើញនៅក្នុងឧបករណ៍បោកបញ្ឆោតពីរផ្សេងទៀត។ លើកនេះ ឯកសារនុយគឺជាការក្លែងបន្លំនៃព័ត៌មានពិតពីសារព័ត៌មានរបស់សហភាពកាតូលិកអាស៊ីដែលមានចំណងជើងថា 'អំពីផែនការរបស់ចិនសម្រាប់ច្បាប់សន្តិសុខហុងកុង' និងឯកសារទាក់ទងនឹងហូលីមួយទៀតដែលមានឈ្មោះថា 'QUM, IL VATICANO DELL'ISLAM.doc '
នៅពេលដាក់ពង្រាយ PlugX payload បង្កើតបណ្តាញទំនាក់ទំនងជាមួយហេដ្ឋារចនាសម្ព័ន្ធ Command-and-Control (C2, C&C) ដែលដូចគ្នាសម្រាប់ការវាយប្រហារដែលបានសង្កេតទាំងអស់។ ដែន C2 មានទីតាំងនៅអាសយដ្ឋាន systeminfor[.]com ។ ដំណាក់កាលចុងក្រោយនៃមេរោគ malware ដែលត្រូវបានបញ្ជូនទៅកាន់ប្រព័ន្ធដែលត្រូវបានសម្របសម្រួលគឺ Trojans Poison Ivy និង Cobalt Strike ពីចម្ងាយ។ គោលដៅរបស់ RedDelta គឺដើម្បីទទួលបានការចូលទៅកាន់ទំនាក់ទំនងផ្ទៃក្នុងរសើប ក៏ដូចជាតាមដានទំនាក់ទំនងរវាងគោលដៅដែលបានជ្រើសរើស។
