adlı bir Çin devlet destekli tehdit faaliyet grubu KırmızıAlfa küresel insani yardım, düşünce kuruluşu ve devlet kuruluşlarına yönelik çok yıllı kitlesel kimlik bilgisi hırsızlığı kampanyasına atfedildi.
Recorded Future yeni bir raporda “Bu aktivitede, RedAlpha büyük olasılıkla e-posta hesaplarına ve hedeflenen kişi ve kuruluşların diğer çevrimiçi iletişimlerine erişmeye çalıştı” dedi.
Daha az bilinen bir tehdit aktörü olan RedAlpha, ilk olarak Ocak 2018’de Citizen Lab tarafından belgelendi ve NjRAT arka kapısının konuşlandırılması yoluyla istihbarat toplamayı kolaylaştırmak için bazıları Hindistan’daki Tibet topluluğuna yönelik siber casusluk ve gözetleme operasyonları yürütme geçmişine sahip.
“kampanyalar […] hafif keşif, seçici hedefleme ve çeşitli kötü niyetli araçları birleştirin,” dedi Recorded Future o sırada.
O zamandan beri, grup tarafından üstlenilen kötü niyetli faaliyetler, Uluslararası İnsan Hakları Federasyonu (FIDH), Uluslararası Af Örgütü, Mercator Çin Araştırmaları Enstitüsü (MERICS), Radio Free Asia (RFA) gibi meşru kuruluşları taklit eden 350 kadar alanın silahlandırılmasını içeriyor. ) ve Tayvan’daki Amerikan Enstitüsü (AIT), diğerleri arasında.
Raporda, düşmanın son üç yılda düşünce kuruluşlarını ve insani yardım kuruluşlarını tutarlı bir şekilde hedeflemesinin Çin hükümetinin stratejik çıkarlarıyla uyumlu olduğu belirtildi.
Yahoo!, Google ve Microsoft gibi meşru e-posta ve depolama hizmeti sağlayıcılarını da içeren kimliğine bürünülmüş etki alanları, daha sonra, kimlik bilgilerinin çalınmasını kolaylaştırmak için yakın kuruluşları ve bireyleri hedeflemek için kullanılır.
Saldırı zincirleri, kullanıcıları, hedeflenen kuruluşlar için e-posta oturum açma portallarını yansıtan sahte açılış sayfalarına yönlendirmek için kötü amaçlı bağlantılar yerleştiren PDF dosyaları içeren kimlik avı e-postalarıyla başlar.
Araştırmacılar, “Bu, diğer üçüncü tarafları hedef almak için bu kuruluşları taklit etmek yerine, bu kuruluşlarla doğrudan bağlantılı kişileri hedef almayı amaçladıkları anlamına geliyor” dedi.
Alternatif olarak, kimlik bilgisi avı etkinliğinde kullanılan etki alanlarının, bu belirli kuruluşlar tarafından kullanılan Zimbra gibi diğer e-posta yazılımlarını taklit etmenin yanı sıra Outlook gibi popüler e-posta sağlayıcıları için genel oturum açma sayfalarını barındırdığı bulunmuştur.
Kampanyanın evriminin bir başka işareti olarak, grup ayrıca Tayvan, Portekiz, Brezilya ve Vietnam’ın dışişleri bakanlıklarının yanı sıra Hindistan’ın BT altyapısını ve hizmetlerini yöneten Hindistan Ulusal Bilişim Merkezi (NIC) ile ilişkili giriş sayfalarını taklit etti. devlet.
RedAlpha kümesi ayrıca, Jiangsu Cimer Bilgi Güvenliği Teknolojisi Ltd. ülke.
“[The targeting of think tanks, civil society organizations, and Taiwanese government and political entities]olası Çin merkezli operatörlerin tanımlanmasıyla birleştiğinde, RedAlpha etkinliğine olası bir Çin devleti bağlantısı olduğunu gösteriyor.”