РедДельта

RedDelta — это обозначение, данное сообществом информационной безопасности высокоактивной группе APT (Advanced Persistent Threat). Есть убедительные ссылки, свидетельствующие о том, что RedDelta является спонсируемой Китаем организацией, занимающейся угрозами. Цели группы почти всегда совпадают с интересами китайского правительства. Одна из последних атак, приписываемых этой группе, была начата против нескольких организаций, связанных с католической церковью. Среди жертв были Ватикан и католическая епархия Гонконга. В число целей также входили исследовательская миссия Гонконга в Китай и Папский институт иностранных миссий (PIME) в Италии. Обе организации до этой операции не были классифицированы как организации, представляющие интерес для поддерживаемых Китаем хакерских групп.

Операции, проводимые связанными с Китаем группами APT, демонстрируют много совпадений, когда речь идет о TTP (тактике, методах и процедурах), когда речь идет о различии между RedDelta и группой, известной как Mustang Panda (также отслеживается как БРОНЗОВЫЙ ПРЕЗИДЕНТ и HoneyMyte). , особенно. Однако исследователи обнаружили достаточно отличительных характеристик, чтобы с большой уверенностью отнести эти серии атак к RedDelta. Уникальные аспекты включают использование варианта PlugX с другим методом шифрования конфигурации, цепочка заражения не была отнесена к другим группам, а в список целей входят правоохранительные органы и государственные органы Индии, а также правительственная организация Индонезии.

Цепочка атак

Настроенная полезная нагрузка PlugX доставляется на компьютер жертвы через электронное письмо-приманку, содержащее военный документ в качестве вложения. В одном из нападений документ-приманка был адресован именно нынешнему главе Гонконгской исследовательской миссии в Китае. Чрезвычайно целенаправленный характер предполагает, что RedDelta могла перехватить официальный документ Ватикана, который впоследствии был использован в качестве оружия. Также весьма вероятно, что хакеры использовали скомпрометированную учетную запись Vactica для отправки сообщения-приманки. Тот же вариант PlugX также был обнаружен внутри двух других фишинговых приманок. На этот раз документы-приманки были имитацией реальных новостей Союза католических азиатских новостей под названием «О плане Китая в отношении закона о безопасности Гонконга.doc» и другого файла, связанного с Ватиканом, под названием «QUM, IL VATICANO DELL'ISLAM.doc». '

После развертывания полезная нагрузка PlugX устанавливает канал связи с инфраструктурой управления и контроля (C2, C&C), которая была одинаковой для всех наблюдаемых атак. Домен C2 располагался по адресу systeminfor[.]com. Вредоносные программы последнего этапа, доставляемые на скомпрометированные системы, — это трояны удаленного доступа Poison Ivy и Cobalt Strike. Целью RedDelta было получение доступа к конфиденциальным внутренним коммуникациям, а также отслеживание отношений между выбранными целями.