RedDelta

Par CagedTech en Advanced Persistent Threat (APT)

Se traduisent par :

RedDelta est la désignation donnée par la communauté infosec à un groupe APT (Advanced Persistent Threat) très actif. Il existe des liens étroits suggérant que RedDelta est un acteur menaçant parrainé par la Chine. Les objectifs du groupe correspondent presque toujours aux intérêts du gouvernement chinois. L'une des dernières campagnes d'attaque attribuées au groupe a été lancée contre plusieurs organisations liées à l'Église catholique. Les victimes comprenaient le Vatican et le diocèse catholique de Hong Kong. Les cibles comprenaient également la mission d'étude de Hong Kong en Chine et l'Institut pontifical pour les missions étrangères (PIME), en Italie. Les deux organisations n'ont pas été classées comme entités d'intérêt pour les groupes de hackers soutenus par la Chine avant cette opération.

Les opérations menées par les groupes APT alignés sur la Chine présentent de nombreux chevauchements en ce qui concerne les TTP (tactiques, techniques et procédures) lorsqu'il s'agit de différencier RedDelta et un groupe connu sous le nom de Mustang Panda (également suivi sous le nom de BRONZE PRESIDENT et HoneyMyte) , surtout. Cependant, les chercheurs ont trouvé suffisamment de caractéristiques distinctives pour attribuer ces séries d'attaques avec une grande confiance à RedDelta. Les aspects uniques incluent l'utilisation d'une variante PlugX avec une méthode de cryptage de configuration différente, la chaîne d'infection n'a pas été attribuée à d'autres groupes et la liste des cibles comprend les forces de l'ordre et les entités gouvernementales indiennes ainsi qu'une organisation gouvernementale indonésienne.

Chaîne d'attaque

La charge utile PlugX personnalisée est livrée à la machine de la victime via un e-mail appât contenant un document armé en pièce jointe. Dans l'une des attaques, le document leurre était adressé au chef actuel de la mission d'étude de Hong Kong en Chine en particulier. La nature hautement ciblée suggère que RedDelta aurait pu intercepter un document officiel du Vatican qui a été transformé en arme par la suite. Il est également très probable que les pirates aient utilisé un compte Vactica compromis pour envoyer le message leurre. La même variante PlugX a également été trouvée à l'intérieur de deux autres leurres de phishing. Cette fois, les documents d'appât étaient une imitation d'un véritable bulletin d'information de l'Union of Catholic Asian News intitulé "About China's plan for Hong Kong security law.doc" et d'un autre fichier lié au Vatican nommé "QUM, IL VATICANO DELL'ISLAM.doc". '

Une fois déployée, la charge utile PlugX établit un canal de communication avec l'infrastructure Command-and-Control (C2, C&C), qui était le même pour toutes les attaques observées. Le domaine C2 était situé à l'adresse systeminfor[.]com. Les charges utiles de malware de dernière étape livrées aux systèmes compromis sont les chevaux de Troie d'accès à distance Poison Ivy et Cobalt Strike. L'objectif de RedDelta était d'accéder à des communications internes sensibles, ainsi que de surveiller les relations entre les cibles choisies.

Rechercher

Changer de région

RedDelta

Soumettre un Commentaire

Tendance

Safe Search Eng

MarioLocker Ransomware

MonWallPaper

Le plus regardé

Est-ce que Lookmovie.io est sûr ?

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran