RedDelta
RedDelta infosec समुदाय द्वारा अत्यधिक सक्रिय APT (Advanced Persistent Threat) समूहलाई दिइएको पदनाम हो। त्यहाँ बलियो लिङ्कहरू छन् जुन सुझाव दिन्छ कि RedDelta एक चिनियाँ प्रायोजित खतरा अभिनेता हो। समूहका लक्ष्यहरू प्रायः सधैं चिनियाँ सरकारको हितसँग मेल खान्छ। समूहलाई श्रेय दिइएको पछिल्लो आक्रमण अभियानहरू मध्ये एक धेरै क्याथोलिक चर्च-सम्बन्धित संगठनहरू विरुद्ध सुरु गरिएको थियो। पीडितहरूमा भ्याटिकन र हङकङको क्याथोलिक डायोसेज समावेश थिए। लक्ष्यहरूमा चीनको लागि हङकङ अध्ययन मिशन र पोन्टिफिकल इन्स्टिच्युट फर फरेन मिसन (PIME), इटाली पनि समावेश थिए। दुवै संस्थाहरूलाई यस अपरेशन अघि चिनियाँ-समर्थित ह्याकर समूहहरूको रुचिको संस्थाको रूपमा वर्गीकृत गरिएको छैन।
RedDelta र Mustang Panda (कांस्य अध्यक्ष र HoneyMyte को रूपमा पनि ट्र्याक गरिएको) भनेर चिनिने समूह बीचको भिन्नताको कुरा गर्दा TTPs (रणनीति, प्रविधि र प्रक्रियाहरू) को कुरा गर्दा चिनियाँ-पङ्क्तिबद्ध APT समूहहरूद्वारा गरिएका सञ्चालनहरूले धेरै ओभरल्यापहरू देखाउँछन्। , विशेष गरी। यद्यपि, शोधकर्ताहरूले RedDelta लाई उच्च विश्वासका साथ आक्रमणहरूको यी श्रृंखलाहरूलाई श्रेय दिन पर्याप्त विशिष्ट विशेषताहरू फेला पारेका छन्। अद्वितीय पक्षहरूमा फरक कन्फिगरेसन इन्क्रिप्शन विधिको साथ PlugX संस्करणको प्रयोग समावेश छ, संक्रमण श्रृंखला अन्य समूहहरूलाई श्रेय दिइएको छैन, र लक्ष्यहरूको सूचीमा कानून प्रवर्तन र भारतका सरकारी निकायहरू साथै इन्डोनेसियाको सरकारी संस्थाहरू समावेश छन्।
आक्रमण चेन
अनुकूलित PlugX पेलोड एक संलग्नको रूपमा हतियारयुक्त कागजात बोकेको चारा इमेल मार्फत पीडितको मेसिनमा डेलिभर गरिन्छ। एउटा आक्रमणमा, लुर कागजात विशेष रूपमा चीनको लागि हङकङ अध्ययन मिशनको वर्तमान प्रमुखलाई सम्बोधन गरिएको थियो। उच्च-लक्षित प्रकृतिले सुझाव दिन्छ कि RedDelta ले आधिकारिक भ्याटिकन कागजातलाई रोकेको हुन सक्छ जुन पछि हतियार बनाइएको थियो। यो पनि धेरै सम्भावना छ कि ह्याकरहरूले प्रलोभन सन्देश पठाउन सम्झौता भ्याक्टिका खाता प्रयोग गरे। उही PlugX संस्करण पनि दुई अन्य फिसिङ लुर्स भित्र फेला पर्यो। यस पटकको प्रलोभन कागजातहरू युनियन अफ क्याथोलिक एसियाली समाचारको वास्तविक नक्कल थियो जसको नाम 'हङकङ सुरक्षा कानूनको लागि चीनको योजनाको बारेमा' नाम दिइएको थियो। '
एक पटक तैनात भएपछि, PlugX पेलोडले Command-and-Control (C2, C&C) पूर्वाधारसँग सञ्चार च्यानल स्थापना गर्दछ, जुन सबै अवलोकन गरिएका आक्रमणहरूको लागि समान थियो। C2 डोमेन systeminfor [.]com ठेगानामा अवस्थित थियो। सम्झौता गरिएका प्रणालीहरूमा डेलिभर गरिएका अन्तिम चरणको मालवेयर पेलोडहरू रिमोट एक्सेस ट्रोजन पोइजन आइवी र कोबाल्ट स्ट्राइक हुन्। RedDelta को लक्ष्य संवेदनशील आन्तरिक संचारमा पहुँच प्राप्त गर्नु थियो, साथै चुनिएका लक्ष्यहरू बीचको सम्बन्धको निगरानी गर्नु थियो।
