RedDelta

RedDelta er betegnelsen gitt av infosec-fellesskapet til en svært aktiv APT-gruppe (Advanced Persistent Threat). Det er sterke koblinger som tyder på at RedDelta er en kinesisk-sponset trusselaktør. Målene til gruppen stemmer nesten alltid overens med interessene til den kinesiske regjeringen. En av de siste angrepskampanjene som ble tilskrevet gruppen ble lansert mot flere katolske kirkerelaterte organisasjoner. Ofrene inkluderte Vatikanet og det katolske bispedømmet i Hong Kong. Målene inkluderte også Hong Kong Study Mission to China og Pontifical Institute for Foreign Missions (PIME), Italia. Begge organisasjonene har ikke blitt klassifisert som enheter av interesse for kinesisk-støttede hackergrupper før denne operasjonen.

Operasjoner utført av kinesisk-justerte APT-grupper viser mange overlappinger når det kommer til TTP-er (Taktikk, teknikker og prosedyrer) når det gjelder å skille mellom RedDelta og en gruppe kjent som Mustang Panda (også sporet som BRONZE PRESIDENT og HoneyMyte) , spesielt. Imidlertid har forskere funnet nok kjennetegn til å tilskrive disse angrepsseriene med høy selvtillit til RedDelta. De unike aspektene inkluderer bruken av en PlugX-variant med en annen konfigurasjonskrypteringsmetode, infeksjonskjeden har ikke blitt tilskrevet andre grupper, og listen over mål inkluderer rettshåndhevelse og offentlige enheter fra India samt en indonesisk regjeringsorganisasjon.

Angrepskjede

Den tilpassede PlugX-nyttelasten leveres til offerets maskin gjennom en agn-e-post med et våpendokument som vedlegg. I et av angrepene ble lokkedokumentet adressert til den nåværende lederen av Hong Kong Study Mission til Kina spesifikt. Den svært målrettede naturen antyder at RedDelta kan ha snappet opp et offisielt Vatikandokument som ble våpen etterpå. Det er også høyst sannsynlig at hackerne brukte en kompromittert Vactica-konto for å sende lokkemeldingen. Den samme PlugX-varianten ble også funnet inne i to andre phishing-lokker. Denne gangen var agndokumentene en etterligning av ekte nyhetsoppslag fra Union of Catholic Asian News kalt 'About China's plan for Hong Kong security law.doc' og en annen Vatikanrelatert fil kalt 'QUM, IL VATICANO DELL'ISLAM.doc '

Når den er distribuert, etablerer PlugX-nyttelasten en kommunikasjonskanal med Command-and-Control (C2, C&C)-infrastrukturen, som var den samme for alle observerte angrep. C2-domenet var lokalisert på systeminfor[.]com-adressen. Lasten av skadelig programvare i siste fase levert til de kompromitterte systemene er trojanerne Poison Ivy og Cobalt Strike med fjerntilgang. Målet til RedDelta var å få tilgang til sensitiv intern kommunikasjon, samt overvåke relasjonene mellom valgte mål.