RedDelta

RedDelta ist die Bezeichnung, die von der infosec-Community einer hochaktiven APT-Gruppe (Advanced Persistent Threat) verliehen wird. Es gibt starke Verbindungen, die darauf hindeuten, dass RedDelta ein von China geförderter Bedrohungsakteur ist. Die Ziele der Gruppe stimmen fast immer mit den Interessen der chinesischen Regierung überein. Eine der jüngsten Angriffskampagnen, die der Gruppe zugeschrieben werden, wurde gegen mehrere mit der katholischen Kirche verbundene Organisationen gestartet. Zu den Opfern gehörten der Vatikan und die katholische Diözese Hongkong. Zu den Zielen gehörten auch die Hongkonger Studienmission in China und das Päpstliche Institut für Auslandsvertretungen (PIME), Italien. Beide Organisationen wurden vor dieser Operation nicht als von Interesse für von China unterstützte Hackergruppen eingestuft.

Operationen, die von chinesisch ausgerichteten APT-Gruppen durchgeführt werden, weisen viele Überschneidungen auf, bezüglich TTPs (Taktik, Techniken und Verfahren), wenn es darum geht, zwischen RedDelta und einer Gruppe namens Mustang Panda (auch als BRONZE PRESIDENT und HoneyMyte verfolgt) zu unterscheiden. Forscher haben jedoch genügend Unterscheidungsmerkmale gefunden, um diese Angriffsserie mit hoher Sicherheit RedDelta zuzuordnen. Zu den Besonderheiten gehört die Verwendung einer PlugX-Variante mit einer anderen Konfigurations-Verschlüsselungsmethode, die Infektionskette wurde nicht anderen Gruppen zugeschrieben und die Liste der Ziele umfasst Strafverfolgungs- und Regierungsbehörden aus Indien sowie eine indonesische Regierungsorganisation.

Angriffskette

Die angepasste PlugX-Nutzlast wird über eine Köder-E-Mail mit einem bewaffneten Dokument als Anhang an die Maschine des Opfers geliefert. Bei einem der Angriffe war das Lockdokument speziell an den derzeitigen Leiter der Hong Kong Study Mission to China adressiert. Die hochgradig gezielte Natur deutet darauf hin, dass RedDelta ein offizielles Dokument des Vatikans abgefangen haben könnte, das später als Waffe eingesetzt wurde. Es ist auch sehr wahrscheinlich, dass die Hacker ein kompromittiertes Vactica-Konto verwendet haben, um die Lock-Nachricht zu senden. Dieselbe PlugX-Variante wurde auch in zwei anderen Phishing-Ködern gefunden. Diesmal waren die Köderdokumente eine Nachahmung einer echten Nachrichtensendung der Union of Catholic Asian News namens "Über Chinas Plan für das Sicherheitsgesetz von Hongkong.doc" und einer anderen vatikanischen Datei namens "QUM, IL VATICANO DELL'ISLAM.doc". '

Nach der Bereitstellung baut die PlugX-Nutzlast einen Kommunikationskanal mit der Command-and-Control-Infrastruktur (C2, C&C) auf, der für alle beobachteten Angriffe gleich war. Die C2-Domäne befand sich unter der Adresse systeminfor[.]com. Die Schadsoftware-Payloads der letzten Stufe, die an die kompromittierten Systeme geliefert werden, sind die Remote-Access-Trojaner Poison Ivy und Cobalt Strike. Das Ziel von RedDelta war es, Zugang zu sensibler interner Kommunikation zu erhalten und die Beziehungen zwischen ausgewählten Zielen zu überwachen.