RedDelta

RedDelta é a designação dada pela comunidade infosec a um grupo APT (Ameaça Persistente Avançada) altamente ativo. Existem fortes ligações sugerindo que o RedDelta é um autor de ameaças patrocinado pela China. Os alvos do grupo quase sempre se alinham aos interesses do governo chinês. Uma das últimas campanhas de ataque atribuídas ao grupo foi lançada contra várias organizações relacionadas com a Igreja Católica. As vítimas incluem o Vaticano e a Diocese Católica de Hong Kong. Também participaram da Missão de Estudos de Hong Kong à China e do Pontifício Instituto para as Missões Estrangeiras (PIME), da Itália. Ambas as organizações não foram classificadas como entidades de interesse para grupos de hackers apoiados pela China antes desta operação.

As operações realizadas por grupos de APT alinhados ao chinês apresentam muitas sobreposições quando se trata de TTPs (táticas, técnicas e procedimentos) quando se trata de diferenciar entre o RedDelta e um grupo conhecido como Mustang Panda (também rastreado como BRONZE PRESIDENT e HoneyMyte), especialmente. No entanto, os pesquisadores encontraram características distintivas suficientes para atribuir essas séries de ataques com alta confiança ao RedDelta. Os aspectos exclusivos incluem o uso de uma variante do PlugX com um método de criptografia de configuração diferente, a cadeia de infecção não foi atribuída a outros grupos e a lista de alvos inclui autoridades policiais e governamentais da Índia, bem como uma organização governamental da Indonésia.

A Corrente de Ataque

A carga útil do PlugX personalizada é entregue à máquina da vítima por meio de um e-mail de isca contendo um documento anexado. Em um dos ataques, o documento isca foi dirigido especificamente ao atual chefe da Missão de Estudo de Hong Kong na China. A natureza altamente direcionada sugere que a RedDelta pode ter interceptado um documento oficial do Vaticano que foi posteriormente transformado em arma. Também é muito provável que os hackers tenham usado uma conta comprometida da Vactica para enviar a mensagem de isca. A mesma variante do PlugX também foi encontrada em duas outras iscas de phishing. Desta vez, os documentos da isca eram uma imitação de um boletim de notícias real da União de Notícias Católicas da Ásia com o nome 'Sobre o plano da China para as leis de segurança de Hong Kong.doc' e outro arquivo relacionado ao Vaticano chamado 'QUM, IL VATICANO DELL'ISLAM.doc '

Uma vez implantada, a carga útil do PlugX estabelece um canal de comunicação com a infraestrutura de Comando e Controle (C2, C&C), que é a mesma para todos os ataques observados. O domínio C2 estava localizado no endereço systeminfor[.]com. As cargas úteis de malware de último estágio entregues aos sistemas comprometidos são os Trojan de acesso remoto Poison Ivy e Cobalt Strike. O objetivo da RedDelta era obter acesso a comunicações internas sensíveis, bem como monitorar as relações entre os alvos escolhidos.

Tendendo

Mais visto

Carregando...