RedDelta

RedDelta je označenie, ktoré dala komunita infosec vysoko aktívnej skupine APT (Advanced Persistent Threat). Existujú silné prepojenia, ktoré naznačujú, že RedDelta je čínsky sponzorovaný aktér hrozby. Ciele skupiny sú takmer vždy v súlade so záujmami čínskej vlády. Jedna z posledných útočných kampaní pripisovaných skupine bola spustená proti niekoľkým organizáciám súvisiacim s katolíckou cirkvou. Medzi obeťami boli Vatikán a katolícka diecéza Hong Kong. Medzi ciele patrila aj Hongkonská študijná misia v Číne a Pápežský inštitút pre zahraničné misie (PIME), Taliansko. Obe organizácie neboli pred touto operáciou klasifikované ako subjekty záujmu hackerských skupín podporovaných Čínou.

Operácie vykonávané čínskymi skupinami APT vykazujú veľa presahov, pokiaľ ide o TTP (taktiku, techniky a postupy), pokiaľ ide o rozlíšenie medzi RedDeltou a skupinou známou ako Mustang Panda (tiež sledovaná ako BRONZE PRESIDENT a HoneyMyte) , najmä. Výskumníci však našli dostatok rozlišovacích charakteristík na to, aby tieto série útokov s vysokou istotou pripísali RedDelta. Medzi jedinečné aspekty patrí použitie variantu PlugX s inou metódou šifrovania konfigurácie, reťazec infekcie nebol pripísaný iným skupinám a zoznam cieľov zahŕňa orgány činné v trestnom konaní a vládne subjekty z Indie, ako aj indonézsku vládnu organizáciu.

Útočný reťazec

Prispôsobené užitočné zaťaženie PlugX sa doručí do stroja obete prostredníctvom e-mailu s návnadou, ktorý ako prílohu obsahuje dokument so zbraňou. Pri jednom z útokov bol návnadový dokument adresovaný konkrétne súčasnému vedúcemu študijnej misie v Hongkongu v Číne. Vysoko cielená povaha naznačuje, že RedDelta mohla zachytiť oficiálny vatikánsky dokument, ktorý bol následne vyzbrojený. Je tiež vysoko pravdepodobné, že hackeri použili kompromitovaný účet Vactica na odoslanie návnady. Rovnaký variant PlugX bol nájdený aj v dvoch ďalších phishingových návnadách. Tentoraz boli dokumenty s návnadou napodobeninou skutočných správ od Union of Catholic Asian News s názvom „O čínskom pláne pre Hongkongské bezpečnostné právo.doc“ a ďalšieho súboru súvisiaceho s Vatikánom s názvom „QUM, IL VATICANO DELL'ISLAM.doc '

Po nasadení vytvorí užitočná časť PlugX komunikačný kanál s infraštruktúrou Command-and-Control (C2, C&C), ktorá bola rovnaká pre všetky pozorované útoky. Doména C2 sa nachádzala na adrese systeminfo[.]com. Poslednou fázou obsahu malvéru doručeného do napadnutých systémov sú trójske kone Poison Ivy a Cobalt Strike so vzdialeným prístupom. Cieľom RedDelta bolo získať prístup k citlivej internej komunikácii, ako aj monitorovať vzťahy medzi vybranými cieľmi.