Giấy phép nhiều thiết bị (Giảm giá theo số lượng)
Threat Database Advanced Persistent Threat (APT) RedDelta

RedDelta

Đến năm CagedTech năm Advanced Persistent Threat (APT)
Dịch sang:
Tiếng Việt Nam

RedDelta là tên được cộng đồng infosec đặt cho một nhóm APT (Mối đe dọa liên tục nâng cao) đang hoạt động mạnh mẽ. Có những liên kết chặt chẽ cho thấy RedDelta là một tác nhân đe dọa do Trung Quốc bảo trợ. Các mục tiêu của nhóm hầu như luôn phù hợp với lợi ích của chính phủ Trung Quốc. Một trong những chiến dịch tấn công mới nhất được cho là của nhóm này đã được phát động nhằm vào một số tổ chức liên quan đến Giáo hội Công giáo. Các nạn nhân bao gồm Vatican và Giáo phận Công giáo Hồng Kông. Các mục tiêu cũng bao gồm Phái bộ Nghiên cứu Hồng Kông tới Trung Quốc và Viện Giáo hoàng về Truyền giáo Nước ngoài (PIME), Ý. Cả hai tổ chức đều không được xếp vào danh sách các tổ chức quan tâm của các nhóm hacker do Trung Quốc hậu thuẫn trước hoạt động này.

Các hoạt động được thực hiện bởi các nhóm APT liên kết với Trung Quốc cho thấy nhiều sự trùng lặp về TTP (Chiến thuật, Kỹ thuật và Quy trình) khi phân biệt giữa RedDelta và một nhóm được gọi là Mustang Panda (còn được theo dõi là BRONZE PRESIDENT và HoneyMyte) , đặc biệt là. Tuy nhiên, các nhà nghiên cứu đã tìm ra đủ đặc điểm phân biệt để gán cho RedDelta một loạt các cuộc tấn công với độ tin cậy cao. Các khía cạnh độc đáo bao gồm việc sử dụng một biến thể PlugX với phương pháp mã hóa cấu hình khác, chuỗi lây nhiễm không được quy cho các nhóm khác và danh sách mục tiêu bao gồm các cơ quan thực thi pháp luật và chính phủ từ Ấn Độ cũng như một tổ chức chính phủ Indonesia.

Chuỗi tấn công

Tải trọng PlugX tùy chỉnh được gửi đến máy của nạn nhân thông qua email mồi có chứa tài liệu được vũ khí hóa dưới dạng tệp đính kèm. Trong một trong những vụ tấn công, tài liệu thu hút đã được gửi cụ thể tới người đứng đầu Phái đoàn Nghiên cứu Hồng Kông tới Trung Quốc. Bản chất được nhắm mục tiêu cao cho thấy rằng RedDelta có thể đã chặn một tài liệu chính thức của Vatican đã được vũ khí hóa sau đó. Rất có thể tin tặc đã sử dụng tài khoản Vactica bị xâm nhập để gửi tin nhắn dụ. Biến thể PlugX tương tự cũng được tìm thấy bên trong hai chiêu dụ lừa đảo khác. Lần này các tài liệu mồi nhử là một bản tin giả thực sự từ Liên minh Tin tức Công giáo Châu Á có tên 'Về kế hoạch của Trung Quốc đối với luật an ninh Hồng Kông.doc' và một tập tin khác liên quan đến Vatican có tên 'QUM, IL VATICANO DELL'ISLAM.doc '

Sau khi được triển khai, tải trọng PlugX thiết lập một kênh giao tiếp với cơ sở hạ tầng Lệnh và Kiểm soát (C2, C&C), cơ sở hạ tầng này giống nhau đối với tất cả các cuộc tấn công được quan sát. Miền C2 được đặt tại địa chỉ systeminfor [.] Com. Phần mềm độc hại giai đoạn cuối được phân phối đến các hệ thống bị xâm nhập là Trojans Poison Ivy và Cobalt Strike truy cập từ xa. Mục tiêu của RedDelta là có được quyền truy cập vào các liên lạc nội bộ nhạy cảm, cũng như theo dõi mối quan hệ giữa các mục tiêu đã chọn.

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,356
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...