RedDelta
RedDelta ir apzīmējums, ko infosec kopiena piešķīrusi ļoti aktīvai APT (Advanced Persistent Threat) grupai. Pastāv spēcīgas saiknes, kas liecina, ka RedDelta ir Ķīnas sponsorēts draudu dalībnieks. Grupas mērķi gandrīz vienmēr saskan ar Ķīnas valdības interesēm. Viena no pēdējām grupējumam piedēvētajām uzbrukuma kampaņām tika uzsākta pret vairākām ar katoļu baznīcu saistītām organizācijām. Upuru vidū bija Vatikāns un Honkongas katoļu diecēze. Mērķi ietvēra arī Honkongas studiju misiju Ķīnā un Pontifikālo Ārzemju misiju institūtu (PIME) Itālijā. Abas organizācijas pirms šīs operācijas nav klasificētas kā Ķīnas atbalstīto hakeru grupu intereses.
Operācijas, ko veic Ķīnas līmenī saskaņotas APT grupas, ļoti pārklājas, runājot par TTP (taktiku, paņēmieniem un procedūrām), kad runa ir par RedDelta nošķiršanu no grupas, kas pazīstama kā Mustang Panda (kas tiek izsekota arī kā BRONZE PRESIDENT un HoneyMyte). , īpaši. Tomēr pētnieki ir atraduši pietiekami daudz atšķirīgu īpašību, lai šīs uzbrukumu sērijas ar augstu pārliecību attiecinātu uz RedDelta. Unikālie aspekti ietver PlugX varianta izmantošanu ar atšķirīgu konfigurācijas šifrēšanas metodi, infekcijas ķēde nav attiecināta uz citām grupām, un mērķu sarakstā ir iekļautas Indijas tiesībaizsardzības un valdības iestādes, kā arī Indonēzijas valdības organizācija.
Uzbrukuma ķēde
Pielāgotā PlugX lietderīgā slodze tiek piegādāta upura mašīnai, izmantojot ēsmas e-pastu, kam kā pielikums ir ierocis dokuments. Vienā no uzbrukumiem lure dokuments tika adresēts pašreizējam Honkongas studiju misijas vadītājam Ķīnā. Ļoti mērķtiecīgais raksturs liek domāt, ka RedDelta varētu būt pārtvērusi oficiālu Vatikāna dokumentu, kas vēlāk tika bruņots. Ir arī ļoti iespējams, ka hakeri izmantoja uzlauztu Vactica kontu, lai nosūtītu vilinājuma ziņojumu. Tas pats PlugX variants tika atrasts arī divos citos pikšķerēšanas mānekļos. Šoreiz ēsmas dokumenti bija imitācija reālai ziņu kopai no Katoļu Āzijas ziņu savienības ar nosaukumu "Par Ķīnas plānu Honkongas drošības jomā law.doc" un cita ar Vatikānu saistīta faila ar nosaukumu "QUM, IL VATICANO DELL'ISLAM.doc". '
Pēc izvietošanas PlugX kravnesība izveido sakaru kanālu ar Command-and-Control (C2, C&C) infrastruktūru, kas bija vienāda visiem novērotajiem uzbrukumiem. C2 domēns atradās systeminfor[.]com adresē. Pēdējās pakāpes ļaunprogrammatūras slodzes, kas piegādātas apdraudētajām sistēmām, ir attālās piekļuves Trojas zirgi Poison Ivy un Cobalt Strike. RedDelta mērķis bija piekļūt jutīgai iekšējai komunikācijai, kā arī uzraudzīt attiecības starp izvēlētajiem mērķiem.