RedDelta

RedDelta, bilgi güvenliği topluluğu tarafından oldukça aktif bir APT (Gelişmiş Kalıcı Tehdit) grubuna verilen isimdir. RedDelta'nın Çin destekli bir tehdit aktörü olduğunu gösteren güçlü bağlantılar var. Grubun hedefleri neredeyse her zaman Çin hükümetinin çıkarlarıyla uyumludur. Gruba atfedilen en son saldırı kampanyalarından biri, Katolik Kilisesi ile ilgili birkaç kuruluşa karşı başlatıldı. Kurbanlar arasında Vatikan ve Hong Kong Katolik Piskoposluğu da vardı. Hedefler arasında ayrıca Çin'deki Hong Kong Çalışma Misyonu ve İtalya'daki Pontifical Institute for Foreign Missions (PIME) da yer aldı. Her iki kuruluş da bu operasyondan önce Çin destekli hacker grupları için ilgi alanı olarak sınıflandırılmamıştı.

RedDelta ile Mustang Panda olarak bilinen bir grup (BRONZE BAŞKAN ve HoneyMyte olarak da takip edilir) arasında ayrım yapmak söz konusu olduğunda, Çin ile uyumlu APT grupları tarafından yürütülen operasyonlar, TTP'ler (Taktik, Teknikler ve Prosedürler) söz konusu olduğunda çok fazla örtüşme gösteriyor , özellikle. Ancak araştırmacılar, bu saldırı dizilerini RedDelta'ya yüksek güvenle atfetmek için yeterli ayırt edici özellik buldular. Benzersiz yönler arasında farklı bir yapılandırma şifreleme yöntemiyle bir PlugX varyantının kullanılması, enfeksiyon zincirinin diğer gruplara atfedilmemesi ve hedefler listesinde Hindistan'dan kolluk kuvvetleri ve devlet kurumlarının yanı sıra bir Endonezya devlet kuruluşu da yer alıyor.

Saldırı Zinciri

Özelleştirilmiş PlugX yükü, ek olarak silahlı bir belge taşıyan bir yem e-postası aracılığıyla kurbanın makinesine iletilir. Saldırılardan birinde, cazibe belgesi, özellikle Hong Kong Çin Araştırma Misyonu'nun şu anki başkanına yönelikti. Son derece hedefli doğası, RedDelta'nın daha sonra silaha dönüştürülen resmi bir Vatikan belgesini ele geçirmiş olabileceğini gösteriyor. Ayrıca, bilgisayar korsanlarının cazibe mesajını göndermek için güvenliği ihlal edilmiş bir Vactica hesabı kullanmış olmaları da oldukça olasıdır. Aynı PlugX varyantı, diğer iki kimlik avı tuzağının içinde de bulundu. Bu kez yem belgeleri, Katolik Asya Haberleri Birliği'nden 'Çin'in Hong Kong güvenlik yasasına yönelik planı hakkında' başlıklı gerçek bir haber bülteninin ve 'QUM, IL VATICANO DELL'ISLAM.doc' adlı Vatikan ile ilgili başka bir dosyanın taklidiydi. '

Bir kez konuşlandırıldığında, PlugX yükü, gözlemlenen tüm saldırılar için aynı olan Komuta ve Kontrol (C2, C&C) altyapısı ile bir iletişim kanalı kurar. C2 etki alanı systeminfor[.]com adresinde bulunuyordu. Güvenliği ihlal edilmiş sistemlere teslim edilen son aşama kötü amaçlı yazılım yükleri, uzaktan erişimli Truva Atları Poison Ivy ve Cobalt Strike'dır. RedDelta'nın amacı, hassas iç iletişimlere erişim sağlamak ve seçilen hedefler arasındaki ilişkileri izlemekti.