RedDelta

RedDelta is de aanduiding die door de infosec-gemeenschap wordt gegeven aan een zeer actieve APT-groep (Advanced Persistent Threat). Er zijn sterke banden die suggereren dat RedDelta een door China gesponsorde bedreigingsacteur is. De doelen van de groep sluiten bijna altijd aan bij de belangen van de Chinese overheid. Een van de laatste aanvalscampagnes die aan de groep worden toegeschreven, werd gelanceerd tegen verschillende katholieke kerkgerelateerde organisaties. Onder de slachtoffers waren het Vaticaan en het katholieke bisdom Hong Kong. De doelen omvatten ook de Hong Kong Study Mission to China en het Pauselijk Instituut voor Buitenlandse Missies (PIME), Italië. Beide organisaties zijn vóór deze operatie niet geclassificeerd als entiteiten die van belang zijn voor door China gesteunde hackergroepen.

Operaties die worden uitgevoerd door op China afgestemde APT-groepen vertonen veel overlappingen als het gaat om TTP's (Tactiek, Technieken en Procedures) als het gaat om het onderscheid tussen RedDelta en een groep die bekend staat als Mustang Panda (ook gevolgd als BRONZE PRESIDENT en HoneyMyte) , vooral. Onderzoekers hebben echter voldoende onderscheidende kenmerken gevonden om deze reeks aanvallen met veel vertrouwen toe te schrijven aan RedDelta. De unieke aspecten zijn onder meer het gebruik van een PlugX-variant met een andere configuratie-encryptiemethode, de infectieketen is niet toegeschreven aan andere groepen en de lijst met doelen omvat wetshandhavings- en overheidsinstanties uit India, evenals een Indonesische overheidsorganisatie.

Aanvalsketen

De aangepaste PlugX-payload wordt op de machine van het slachtoffer afgeleverd via een lokaas-e-mail met een bewapend document als bijlage. Bij een van de aanslagen was het lokdocument specifiek gericht aan het huidige hoofd van de Hong Kong Study Mission to China. De zeer gerichte aard suggereert dat RedDelta mogelijk een officieel Vaticaans document heeft onderschept dat vervolgens werd bewapend. Het is ook zeer waarschijnlijk dat de hackers een gecompromitteerd Vactica-account hebben gebruikt om het lokbericht te verzenden. Dezelfde PlugX-variant werd ook gevonden in twee andere phishing-lokmiddelen. Deze keer waren de lokaasdocumenten een imitatie van een echt nieuwsbulletin van de Union of Catholic Asian News genaamd 'About China's plan for Hong Kong security law.doc' en een ander Vaticaan-gerelateerd bestand genaamd 'QUM, IL VATICANO DELL'ISLAM.doc '

Eenmaal geïmplementeerd, brengt de PlugX-payload een communicatiekanaal tot stand met de Command-and-Control (C2, C&C)-infrastructuur, dat hetzelfde was voor alle waargenomen aanvallen. Het C2-domein bevond zich op het systeminfor[.]com-adres. De malware-payloads in de laatste fase die aan de gecompromitteerde systemen worden geleverd, zijn de trojans met externe toegang, Poison Ivy en Cobalt Strike. Het doel van RedDelta was om toegang te krijgen tot gevoelige interne communicatie en om de relaties tussen gekozen doelen te bewaken.