RedDelta

RedDelta 是信息安全社區對高度活躍的 APT(高級持續威脅)組織的命名。有很強的聯繫表明 RedDelta 是中國贊助的威脅行為者。該集團的目標幾乎總是與中國政府的利益一致。歸因於該組織的最新攻擊活動之一是針對幾個與天主教會相關的組織發起的。受害者包括梵蒂岡和香港天主教教區。目標還包括香港中國考察團和意大利宗座外國使團研究所(PIME)。在此次行動之前,這兩個組織都沒有被歸類為中國支持的黑客組織感興趣的實體。

當涉及到區分 RedDelta 和野馬熊貓組織(也被稱為 BRONZE PRESIDENT 和 HoneyMyte)時,與中國結盟的 APT 組織執行的操作在 TTP(戰術、技術和程序)方面顯示出很多重疊, 尤其。然而,研究人員已經發現了足夠多的特徵,可以高度自信地將這一系列攻擊歸因於 RedDelta。獨特的方麵包括使用具有不同配置加密方法的 PlugX 變體,感染鏈未歸因於其他團體,目標清單包括來自印度的執法和政府實體以及印度尼西亞政府組織。

攻擊鏈

定制的 PlugX 有效載荷通過帶有武器化文檔作為附件的誘餌電子郵件傳送到受害者的機器。在其中一次襲擊中,誘餌文件是專門寫給香港訪華團現任團長的。高度針對性的性質表明,RedDelta 可能截獲了一份隨後被武器化的梵蒂岡官方文件。黑客也極有可能使用受感染的 Vactica 帳戶發送誘餌信息。在另外兩個網絡釣魚誘餌中也發現了相同的 PlugX 變體。這次的誘餌文件是對天主教亞洲新聞聯盟的一篇名為"關於中國香港安全法.doc"的新聞報導和另一個梵蒂岡相關文件"QUM, IL VATICANO DELL'ISLAM.doc"的模仿。 '

部署後,PlugX 負載建立與命令和控制(C2、C&C)基礎設施的通信通道,這對於所有觀察到的攻擊都是相同的。 C2 域位於 systeminfor[.]com 地址。傳送到受感染系統的最後階段惡意軟件有效載荷是遠程訪問木馬Poison Ivy和 Cobalt Strike。 RedDelta 的目標是訪問敏感的內部通信,並監控所選目標之間的關係。

熱門

最受關注

加載中...