RedDelta

RedDelta är beteckningen som ges av infosec-gruppen till en mycket aktiv APT-grupp (Advanced Persistent Threat). Det finns starka länkar som tyder på att RedDelta är en kinesiskt sponsrad hotaktör. Gruppens mål överensstämmer nästan alltid med den kinesiska regeringens intressen. En av de senaste attackkampanjer som tillskrevs gruppen lanserades mot flera katolska kyrkorelaterade organisationer. Offren inkluderade Vatikanen och det katolska stiftet Hong Kong. Målen inkluderade även Hongkongs studieuppdrag till Kina och Pope (Institute for Foreign Missions), Italien. Båda organisationerna har inte klassificerats som enheter av intresse för kinesiskt stödda hackargrupper före denna operation.

Åtgärder som utförs av kinesiskt anpassade APT-grupper visar mycket överlappningar när det gäller TTP (Tactic, Techniques, and Procedures) när det gäller att skilja mellan RedDelta och en grupp som kallas Mustang Panda (även spårad som BRONZE PRESIDENT och HoneyMyte) , framförallt. Forskare har dock funnit tillräckligt med särskiljande egenskaper för att tillskriva dessa serie attacker med högt förtroende till RedDelta. De unika aspekterna inkluderar användningen av en PlugX-variant med en annan konfigurationskrypteringsmetod, infektionskedjan har inte tillskrivits andra grupper och listan över mål inkluderar brottsbekämpning och myndigheter från Indien samt en indonesisk regeringsorganisation.

Attack Chain

Den anpassade PlugX-nyttolasten levereras till offrets maskin via ett bete-e-postmeddelande med ett vapendokument som en bilaga. I en av attackerna riktades lockdokumentet specifikt till den nuvarande chefen för Hongkongs studieuppdrag till Kina. Den mycket målinriktade karaktären tyder på att RedDelta kan ha avlyssnat ett officiellt Vatikan-dokument som därefter beväpnades. Det är också mycket troligt att hackarna använde ett komprometterat Vactica-konto för att skicka lockbeteendet. Samma PlugX-variant hittades också i två andra nätfiske. Den här gången var betedokumenten en imitation av en verklig nyhetsrapport från Union of Catholic Asian News med namnet 'Om Kinas plan för Hongkongs säkerhetslag.doc' och en annan Vatikanrelaterad fil med namnet 'QUM, IL VATICANO DELL'ISLAM.doc ''

En gång distribuerad etablerar PlugX nyttolast en kommunikationskanal med Command-and-Control (C2, C&C) infrastruktur, vilket var detsamma för alla observerade attacker. C2-domänen befann sig på systeminfor [.] Com-adressen. De sista stegets skadliga nyttolaster som levererats till de komprometterade systemen är fjärråtkomst Trojaner Poison Ivy och Cobalt Strike. Målet med RedDelta var att få tillgång till känslig intern kommunikation samt övervaka relationerna mellan valda mål.