RedDelta

Până în CagedTech în Advanced Persistent Threat (APT)

Tradu in:

RedDelta este denumirea dată de comunitatea infosec unui grup extrem de activ APT (Advanced Persistent Threat). Există legături puternice care sugerează că RedDelta este un actor de amenințări sponsorizat de China. Țintele grupului se aliniază aproape întotdeauna cu interesele guvernului chinez. Una dintre cele mai recente campanii de atac atribuite grupului a fost lansată împotriva mai multor organizații legate de Biserica Catolică. Printre victime se numără Vaticanul și Dioceza Catolică din Hong Kong. Țintele au inclus, de asemenea, Misiunea de Studiu din Hong Kong în China și Institutul Pontifical pentru Misiuni Străine (PIME), Italia. Ambele organizații nu au fost clasificate ca entități de interes pentru grupurile de hackeri susținute de chinezi înainte de această operațiune.

Operațiunile desfășurate de grupurile APT aliniate cu China prezintă o mulțime de suprapuneri atunci când vine vorba de TTP-uri (Tactică, Tehnici și Proceduri) când vine vorba de diferențierea între RedDelta și un grup cunoscut sub numele de Mustang Panda (de asemenea, urmărit ca PREȘEDINTE DE BRONZ și HoneyMyte) , în special. Cu toate acestea, cercetătorii au găsit suficiente caracteristici distinctive pentru a atribui aceste serii de atacuri cu mare încredere lui RedDelta. Aspectele unice includ utilizarea unei variante PlugX cu o metodă de criptare de configurare diferită, lanțul de infecție nu a fost atribuit altor grupuri, iar lista de ținte include entitățile de aplicare a legii și guvernamentale din India, precum și o organizație guvernamentală indoneziană.

Lanț de atac

Sarcina utilă personalizată PlugX este livrată la aparatul victimei printr-un e-mail cu momeală care conține un document cu arme ca atașament. Într-unul dintre atacuri, documentul nalucă a fost adresat în mod specific actualului șef al Misiunii de studiu din Hong Kong în China. Natura extrem de vizată sugerează că RedDelta ar fi putut intercepta un document oficial al Vaticanului care a fost ulterior armat. De asemenea, este foarte probabil ca hackerii să folosească un cont Vactica compromis pentru a trimite mesajul de momeală. Aceeași variantă PlugX a fost găsită și în interiorul altor două momeli pentru phishing. De data aceasta, documentele de momeală au fost o imitație a unui real buletin de știri de la Union of Catholic Asian News numit „Despre planul Chinei pentru legea de securitate din Hong Kong.doc” și un alt fișier legat de Vatican numit „QUM, IL VATICANO DELL’ISLAM.doc”. '

Odată implementată, sarcina utilă PlugX stabilește un canal de comunicare cu infrastructura Command-and-Control (C2, C&C), care a fost aceeași pentru toate atacurile observate. Domeniul C2 a fost localizat la adresa systeminfor[.]com. Încărcările utile de malware din ultima etapă livrate sistemelor compromise sunt troienii de acces la distanță Poison Ivy și Cobalt Strike. Scopul RedDelta a fost să obțină acces la comunicații interne sensibile, precum și să monitorizeze relațiile dintre țintele alese.

Căutare

Schimbați regiunea

RedDelta

Trimite comentariu

Trending

Safe Search Eng

MyWallPaper

Grounding Conductor Ransomware

Cele mai văzute

Este Lookmovie.io sigur?

DNS Unlocker

Înșelătorie prin e-mail „Geek Squad”.