RedDelta

RedDelta është përcaktimi i dhënë nga komuniteti infosec për një grup shumë aktiv APT (Kërcënimi i Përparuar i Përparuar). Ka lidhje të forta që sugjerojnë se RedDelta është një aktor kërcënimi i sponsorizuar nga Kina. Objektivat e grupit pothuajse gjithmonë përputhen me interesat e qeverisë kineze. Një nga fushatat e fundit të sulmit që i atribuohet grupit u nis kundër disa organizatave të lidhura me Kishën Katolike. Viktimat përfshinin Vatikanin dhe Dioqezën Katolike të Hong Kongut. Objektivat përfshinin gjithashtu Misionin Studimor të Hong Kongut në Kinë dhe Institutin Papnor për Misionet e Huaja (PIME), Itali. Të dyja organizatat nuk janë klasifikuar si subjekte me interes për grupet e hakerëve të mbështetur nga Kina përpara këtij operacioni.

Operacionet e kryera nga grupet APT të linjës kineze shfaqin shumë mbivendosje kur bëhet fjalë për TTP-të (taktika, teknika dhe procedura) kur bëhet fjalë për dallimin midis RedDelta dhe një grupi të njohur si Mustang Panda (i gjurmuar gjithashtu si PRESIDENT BRONZE dhe HoneyMyte) , sidomos. Megjithatë, studiuesit kanë gjetur mjaft karakteristika dalluese për t'ia atribuar këto seri sulmesh me besim të lartë tek RedDelta. Aspektet unike përfshijnë përdorimin e një varianti PlugX me një metodë të ndryshme të enkriptimit të konfigurimit, zinxhiri i infeksionit nuk i është atribuar grupeve të tjera dhe lista e objektivave përfshin zbatimin e ligjit dhe subjektet qeveritare nga India, si dhe një organizatë qeveritare indoneziane.

Zinxhiri i sulmit

Ngarkesa e personalizuar PlugX i dorëzohet makinës së viktimës përmes një emaili karremi që mban një dokument të armatosur si bashkëngjitje. Në një nga sulmet, dokumenti i joshjes iu drejtua në mënyrë specifike kreut aktual të Misionit Studimor të Hong Kongut në Kinë. Natyra shumë e shënjestruar sugjeron që RedDelta mund të ketë përgjuar një dokument zyrtar të Vatikanit që u armatos më pas. Gjithashtu ka shumë të ngjarë që hakerët të përdorën një llogari të komprometuar Vactica për të dërguar mesazhin e joshjes. I njëjti variant PlugX u gjet gjithashtu brenda dy josheve të tjera të phishing. Këtë herë dokumentet e karremit ishin një imitim i një lajmi të vërtetë nga Unioni i Lajmeve Katolike Aziatike të quajtur "Rreth planit të Kinës për ligjin e sigurisë së Hong Kongut.doc" dhe një skedar tjetër të lidhur me Vatikanin me emrin "QUM, IL VATICANO DELL'ISLAM.doc '

Pasi të vendoset, ngarkesa PlugX krijon një kanal komunikimi me infrastrukturën Command-and-Control (C2, C&C), e cila ishte e njëjtë për të gjitha sulmet e vëzhguara. Domeni C2 ndodhej në adresën systeminfor[.]com. Ngarkesat e shkallës së fundit të malware të dorëzuara në sistemet e komprometuara janë Trojans Poison Ivy dhe Cobalt Strike me akses në distancë. Qëllimi i RedDelta ishte të fitonte akses në komunikimet e brendshme të ndjeshme, si dhe të monitoronte marrëdhëniet midis objektivave të zgjedhur.

Në trend

Më e shikuara

Po ngarkohet...