RedDelta
RedDelta — це позначення, яке дає спільнота infosec високоактивній групі APT (Advanced Persistent Threat). Існують сильні зв’язки, які свідчать про те, що RedDelta є спонсором китайськими загрозами. Цілі групи майже завжди збігаються з інтересами китайського уряду. Одна з останніх атак угруповання була розпочата проти кількох організацій, пов’язаних з Католицькою Церквою. Серед жертв – Ватикан і католицька єпархія Гонконгу. Цілі також включали навчальну місію Гонконгу до Китаю та Папський інститут іноземних місій (PIME), Італія. До цієї операції обидві організації не були класифіковані як організації, що представляють інтерес для підтримуваних Китаєм хакерських груп.
Операції, що здійснюються китайськими групами APT, демонструють багато збігів, коли справа доходить до TTP (тактика, техніка та процедури), коли справа доходить до розмежування між RedDelta та групою, відомою як Mustang Panda (також відстежується як BRONZE PRESIDENT і HoneyMyte). , особливо. Однак дослідники знайшли достатньо відмінних характеристик, щоб з високою впевненістю віднести ці серії атак до RedDelta. Унікальні аспекти включають використання варіанту PlugX з іншим методом шифрування конфігурації, ланцюжок зараження не віднесений до інших груп, а список цілей включає правоохоронні та державні установи з Індії, а також індонезійську урядову організацію.
Ланцюг атаки
Налаштований корисний вантаж PlugX доставляється на машину жертви через електронний лист із приманкою, що містить документ із зброєю як вкладення. Під час однієї з атак документ про приманку був адресований саме нинішньому керівнику Гонконгської навчальної місії в Китаї. Цілеспрямований характер свідчить про те, що RedDelta, можливо, перехопила офіційний документ Ватикану, який згодом був використаний зброєю. Також велика ймовірність, що хакери використали зламаний обліковий запис Vactica для відправки повідомлення про приманку. Такий же варіант PlugX також був знайдений у двох інших фішингових приманках. Цього разу документи-приманки були імітацією справжнього випуску новин Союзу католицьких азіатських новин під назвою «Про план Китаю щодо закону про безпеку в Гонконзі.doc» та іншого файлу, пов’язаного з Ватиканом, під назвою «QUM, IL VATICANO DELL'ISLAM.doc '
Після розгортання корисне навантаження PlugX встановлює канал зв’язку з інфраструктурою командування та керування (C2, C&C), який був однаковим для всіх спостережуваних атак. Домен C2 був розташований за адресою systeminfor[.]com. Зловмисним програмним забезпеченням останнього етапу, що надходить у скомпрометовані системи, є трояни віддаленого доступу Poison Ivy та Cobalt Strike. Метою RedDelta було отримати доступ до конфіденційних внутрішніх комунікацій, а також відстежувати відносини між обраними цілями.
