RedDelta

RedDeltaは、infosecコミュニティによって非常にアクティブなAPT（Advanced Persistent Threat）グループに与えられた指定です。 RedDeltaが中国が後援する脅威アクターであることを示唆する強いリンクがあります。グループの目標は、ほとんどの場合、中国政府の利益と一致しています。このグループに起因する最新の攻撃キャンペーンの1つは、いくつかのカトリック教会関連組織に対して開始されました。犠牲者にはバチカンと香港のカトリック教区が含まれていました。ターゲットには、中国への香港研究ミッションとイタリアのミラノ宣教会（PIME）も含まれていました。どちらの組織も、この作戦以前は、中国が支援するハッカーグループの対象として分類されていませんでした。

中国に所属するAPTグループによって実行される操作は、RedDeltaとMustang Panda（BRONZE PRESIDENTおよびHoneyMyteとしても追跡される）として知られるグループとの差別化に関して、TTP（戦術、技術、および手順）に関して多くの重複を示します。 、特に。ただし、研究者は、これらの一連の攻撃を高い信頼度でRedDeltaに帰するのに十分な特徴を発見しました。独自の側面には、異なる構成暗号化方式のPlugXバリアントの使用が含まれ、感染チェーンは他のグループに起因するものではなく、ターゲットのリストには、インドの法執行機関と政府機関、およびインドネシア政府組織が含まれます。

攻撃チェーン

カスタマイズされたPlugXペイロードは、武器化されたドキュメントを添付ファイルとして運ぶベイトメールを介して被害者のマシンに配信されます。攻撃の1つでは、ルアー文書は特に中国への香港研究ミッションの現在の責任者に宛てられました。高度に標的化された性質は、RedDeltaがその後兵器化された公式のバチカン文書を傍受した可能性があることを示唆しています。また、ハッカーが侵害されたVacticaアカウントを使用してルアーメッセージを送信した可能性も高いです。同じPlugXバリアントは、他の2つのフィッシングルアー内でも見つかりました。今回の餌の文書は、「中国の香港安全保障法について」という名前のカトリックアジアニュース連合からの実際のニュース速報と「QUM、IL VATICANO DELL'ISLAM.doc」という名前の別のバチカン関連ファイルの模倣でした。 '

PlugXペイロードは、展開されると、コマンドアンドコントロール（C2、C＆C）インフラストラクチャとの通信チャネルを確立します。これは、観察されたすべての攻撃で同じでした。 C2ドメインはsysteminfor [。] comアドレスにありました。侵害されたシステムに配信される最終段階のマルウェアペイロードは、リモートアクセス型のトロイの木馬PoisonIvyとCobaltStrikeです。 RedDeltaの目標は、機密性の高い内部通信にアクセスし、選択したターゲット間の関係を監視することでした。