RedDelta

RedDelta es la designación otorgada por la comunidad infosec a un grupo APT (Advanced Persistent Threat) altamente activo. Hay fuertes vínculos que sugieren que RedDelta es un actor de amenazas patrocinado por China. Los objetivos del grupo casi siempre se alinean con los intereses del gobierno chino. Una de las últimas campañas de ataque atribuidas al grupo se lanzó contra varias organizaciones relacionadas con la Iglesia católica. Las víctimas incluyeron el Vaticano y la Diócesis Católica de Hong Kong. Los objetivos también incluyeron la Misión de Estudios de Hong Kong a China y el Instituto Pontificio para las Misiones Extranjeras (PIME), Italia. Ambas organizaciones no han sido clasificadas como entidades de interés para grupos de hackers respaldados por China antes de esta operación.

Las operaciones llevadas a cabo por grupos APT alineados con China muestran muchas superposiciones cuando se trata de TTP (tácticas, técnicas y procedimientos) cuando se trata de diferenciar entre RedDelta y un grupo conocido como Mustang Panda (también conocido como BRONZE PRESIDENT y HoneyMyte) , especialmente. Sin embargo, los investigadores han encontrado suficientes características distintivas para atribuir esta serie de ataques con gran confianza a RedDelta. Los aspectos únicos incluyen el uso de una variante de PlugX con un método de cifrado de configuración diferente, la cadena de infección no se ha atribuido a otros grupos y la lista de objetivos incluye las fuerzas del orden y las entidades gubernamentales de la India, así como una organización gubernamental indonesia.

Cadena de ataque

La carga útil personalizada de PlugX se envía a la máquina de la víctima a través de un correo electrónico de cebo que lleva un documento armado como archivo adjunto. En uno de los ataques, el documento del señuelo se dirigió específicamente al jefe actual de la Misión de Estudio de Hong Kong a China. La naturaleza altamente dirigida sugiere que RedDelta podría haber interceptado un documento oficial del Vaticano que fue armado posteriormente. También es muy probable que los piratas informáticos utilizaran una cuenta de Vactica comprometida para enviar el mensaje de señuelo. La misma variante de PlugX también se encontró dentro de otros dos señuelos de phishing. Esta vez, los documentos del cebo eran una imitación de un boletín de noticias real de la Unión de Noticias Católicas Asiáticas llamado 'Acerca del plan de China para la ley de seguridad de Hong Kong.doc' y otro archivo relacionado con el Vaticano llamado 'QUM, IL VATICANO DELL'ISLAM.doc '

Una vez implementada, la carga útil de PlugX establece un canal de comunicación con la infraestructura de Comando y Control (C2, C&C), que fue la misma para todos los ataques observados. El dominio C2 estaba ubicado en la dirección systeminfor [.] Com. Las cargas útiles de malware de última etapa entregadas a los sistemas comprometidos son los troyanos de acceso remoto Poison Ivy y Cobalt Strike. El objetivo de RedDelta era obtener acceso a comunicaciones internas sensibles, así como monitorear las relaciones entre los objetivos elegidos.

Tendencias

Mas Visto

Cargando...