레드델타

RedDelta는 정보 보안 커뮤니티에서 고도로 활동적인 APT(Advanced Persistent Threat) 그룹에 부여한 명칭입니다. RedDelta가 중국이 후원하는 위협 행위자임을 암시하는 강력한 링크가 있습니다. 그룹의 목표는 거의 항상 중국 정부의 이익과 일치합니다. 이 그룹에 기인한 최신 공격 캠페인 중 하나는 여러 가톨릭 교회 관련 조직에 대해 시작되었습니다. 희생자들은 바티칸과 홍콩의 가톨릭 교구를 포함했습니다. 목표에는 또한 중국 주재 홍콩 연구 사절단과 이탈리아의 PIME(Pontifical Institute for Foreign Missions)도 포함되었습니다. 두 조직 모두 이 작전 이전에 중국이 지원하는 해커 그룹의 관심 대상으로 분류되지 않았습니다.

RedDelta와 Mustang Panda(BRONZE PRESIDENT 및 HoneyMyte라고도 함)로 알려진 그룹을 구별할 때 중국에 연계된 APT 그룹이 수행하는 작업은 TTP(Tactic, Techniques, and Procedures)와 관련하여 중복되는 부분이 많습니다. , 특히. 그러나 연구원들은 이러한 일련의 공격이 RedDelta에 있다고 확신할 수 있을 만큼 충분히 구별되는 특성을 발견했습니다. 독특한 측면에는 다른 구성 암호화 방법으로 PlugX 변종을 사용하는 것, 감염 체인이 다른 그룹에 기인하지 않은 것, 대상 목록에 인도의 법 집행 기관 및 정부 기관 및 인도네시아 정부 기관이 포함된다는 점 등이 포함됩니다.

공격 체인

맞춤형 PlugX 페이로드는 무기화된 문서를 첨부 파일로 포함하는 미끼 이메일을 통해 피해자의 시스템에 전달됩니다. 공격 중 하나에서 루어 문서는 특히 현재 중국 주재 홍콩 연구단 책임자에게 전달되었습니다. 고도로 표적화된 특성은 RedDelta가 이후에 무기화한 공식 바티칸 문서를 가로챘을 수도 있음을 시사합니다. 또한 해커가 손상된 Vactica 계정을 사용하여 유인 메시지를 보낼 가능성이 높습니다. 동일한 PlugX 변종이 2개의 다른 피싱 미끼에서도 발견되었습니다. 이번에는 미끼 문서 'About China's plan for the Hong Kong security law.doc'와 'QUM, IL VATICANO DELL'ISLAM.doc'라는 이름의 또 다른 바티칸 관련 파일이라는 카톨릭 아시아 뉴스 연합(Union of Catholic Asian News)의 실제 뉴스 게시판을 모방한 것이었다. '

일단 배치되면 PlugX 페이로드는 모든 관찰된 공격에 대해 동일한 명령 및 제어(C2, C&C) 인프라와 통신 채널을 설정합니다. C2 도메인은 systeminfor[.]com 주소에 있습니다. 감염된 시스템에 전달되는 마지막 단계의 멀웨어 페이로드는 원격 액세스 트로이 목마 포이즌 아이비(Poison Ivy) 및 코발트 스트라이크(Cobalt Strike)입니다. RedDelta의 목표는 민감한 내부 통신에 액세스하고 선택한 대상 간의 관계를 모니터링하는 것이었습니다.