RedDelta

RedDelta to oznaczenie nadawane przez społeczność infosec bardzo aktywnej grupie APT (Advanced Persistent Threat). Istnieją silne powiązania sugerujące, że RedDelta jest sponsorowanym przez Chiny podmiotem zajmującym się zagrożeniami. Cele grupy prawie zawsze są zgodne z interesami chińskiego rządu. Jedna z ostatnich kampanii ataków przypisywanych grupie została przeprowadzona przeciwko kilku organizacjom związanym z Kościołem katolickim. Ofiarami byli Watykan i katolicka diecezja Hongkongu. Cele obejmowały również misję studyjną z Hongkongu w Chinach oraz Papieski Instytut Misji Zagranicznych (PIME) we Włoszech. Obie organizacje nie zostały sklasyfikowane jako podmioty interesujące dla wspieranych przez Chiny grup hakerskich przed tą operacją.

Operacje przeprowadzane przez chińskie grupy APT wykazują wiele podobieństw, jeśli chodzi o TTP (taktyka, techniki i procedury), jeśli chodzi o rozróżnienie między RedDelta a grupą znaną jako Mustang Panda (śledzoną również jako BRONZE PRESIDENT i HoneyMyte) , szczególnie. Jednak naukowcy znaleźli wystarczająco dużo wyróżniających się cech, aby z dużym prawdopodobieństwem przypisać te serie ataków RedDelta. Unikalne aspekty obejmują wykorzystanie wariantu PlugX z inną metodą szyfrowania konfiguracji, łańcuch infekcji nie został przypisany innym grupom, a lista celów obejmuje organy ścigania i instytucje rządowe z Indii oraz indonezyjską organizację rządową.

Łańcuch ataku

Dostosowany ładunek PlugX jest dostarczany do komputera ofiary za pośrednictwem wiadomości e-mail-przynęty zawierającej uzbrojony dokument jako załącznik. W jednym z ataków dokument z przynętą był adresowany konkretnie do obecnego szefa Hong Kong Study Mission do Chin. Wysoce ukierunkowany charakter sugeruje, że RedDelta mogła przechwycić oficjalny dokument Watykanu, który został później uzbrojony. Jest również bardzo prawdopodobne, że hakerzy wykorzystali zhakowane konto Vactica, aby wysłać wiadomość z przynętą. Ten sam wariant PlugX znaleziono również w dwóch innych przynętach phishingowych. Tym razem dokumenty przynęty były imitacją prawdziwego biuletynu informacyjnego Związku Katolickich Wiadomości Azjatyckich zatytułowanego „O chińskim planie dotyczącym prawa bezpieczeństwa Hongkongu.doc" oraz innego pliku związanego z Watykanem zatytułowanego „QUM, IL VATICANO DELL'ISLAM.doc '

Po wdrożeniu ładunek PlugX ustanawia kanał komunikacji z infrastrukturą Command-and-Control (C2, C&C), który był taki sam dla wszystkich zaobserwowanych ataków. Domena C2 znajdowała się pod adresem systeminfo[.]com. Ostatnim etapem szkodliwych programów dostarczanych do zaatakowanych systemów są trojany zdalnego dostępu Poison Ivy i Cobalt Strike. Celem RedDelta było uzyskanie dostępu do wrażliwej komunikacji wewnętrznej, a także monitorowanie relacji pomiędzy wybranymi celami.