Moğolistan, Tayvan, Myanmar, Vietnam ve Kamboçya, Temmuz 2023 ile Aralık 2024 arasında PlugX arka kapısının özelleştirilmiş bir versiyonunu sunmak üzere Çin bağlantı noktası RedDelta tehdit aktörü tarafından hedef alındı.
Recorded Future’dan Insikt Group, “Grup, 2024 Tayvan başkan adayı Terry Gou, Vietnam Ulusal Tatili, Moğolistan’daki selden korunma ve Güneydoğu Asya Ülkeleri Birliği (ASEAN) toplantısı da dahil olmak üzere toplantı davetiyeleri temalı yem belgeleri kullandı.” dedi. yeni analiz.
Tehdit aktörünün Ağustos 2024’te Moğolistan Savunma Bakanlığı’nı ve Kasım 2024’te Vietnam Komünist Partisi’ni tehlikeye attığına inanılıyor. Ayrıca Malezya, Japonya, ABD, Etiyopya, Brezilya, Avustralya ve Hindistan’daki çeşitli kurbanları da hedef aldığı söyleniyor. Eylül’den Aralık 2024’e kadar.
En az 2012’den beri aktif olan RedDelta, Çin’de devlet destekli bir tehdit aktörüne verilen isimdir. Ayrıca BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Mustang Panda (ve onunla yakından ilişkili Vertigo Panda), Red Lich, Stately Taurus, TA416 ve Twill Typhoon isimleri altında siber güvenlik topluluğu tarafından da takip ediliyor.
Bilgisayar korsanlığı ekibi, Güneydoğu Asya’daki hükümet kuruluşlarını hedef alan casusluk operasyonlarının bir parçası olarak Visual Studio Code tünellerini silahlandıran son saldırılarla enfeksiyon zincirini sürekli olarak iyileştirmesiyle tanınıyor; bu taktik, Dijital Göz Operasyonu gibi Çin bağlantılı çeşitli casusluk kümeleri tarafından giderek daha fazla benimseniyor. ve MirrorFace.
Recorded Future tarafından belgelenen izinsiz giriş seti, enfeksiyon zincirini tetikleyen ilk aşama bileşen olarak muhtemelen hedef odaklı kimlik avı yoluyla dağıtılan Windows Kısayolu (LNK), Windows Installer (MSI) ve Microsoft Yönetim Konsolu (MSC) dosyalarının kullanılmasını gerektiriyor , sonuçta PlugX’in DLL yandan yükleme teknikleri kullanılarak konuşlandırılmasına yol açtı.
Geçen yılın sonlarında düzenlenen belirli kampanyalar, MSC yükünün indirilmesini tetiklemek için bir başlangıç noktası olarak Microsoft Azure’da barındırılan HTML dosyalarına bir bağlantı içeren kimlik avı e-postalarına da güvendi; bu da, PlugX’i bir MSI yükleyicisi kullanarak yüklemekten sorumlu bir MSI yükleyicisini devre dışı bıraktı. DLL arama sırasının ele geçirilmesine karşı savunmasız olan meşru yürütülebilir dosya.
Taktiklerindeki evrimin ve güvenlik savunmalarının ilerisinde olduğunun bir başka işareti olarak RedDelta’nın, saldırgan tarafından çalıştırılan C2 sunucularına komuta ve kontrol (C2) trafiğini proxy olarak göndermek için Cloudflare içerik dağıtım ağını (CDN) kullandığı gözlemlendi. Bu, meşru CDN trafiğine uyum sağlamak ve algılama çabalarını karmaşıklaştırmak amacıyla yapılır.
Recorded Future, bilinen iki RedDelta C2 sunucusuyla iletişim kuran 10 idari sunucu tespit ettiğini söyledi. 10 IP adresinin tamamı China Unicom Henan Eyaletine kayıtlıdır.
Şirket, “RedDelta’nın faaliyetleri Çin’in stratejik öncelikleriyle uyumlu olup, Güneydoğu Asya, Moğolistan ve Avrupa’daki hükümetlere ve diplomatik kuruluşlara odaklanmaktadır” dedi.
“Grubun 2023 ve 2024’teki Asya odaklı hedeflemesi, 2022’de Avrupa örgütlerini hedef aldıktan sonra grubun tarihsel odağına dönüşü temsil ediyor. RedDelta’nın Moğolistan ve Tayvan’ı hedeflemesi, grubun Çin Komünist Partisinin gücüne tehdit olarak görülen grupları geçmişte hedeflemesiyle tutarlıdır. “
Gelişme, Bloomberg’in ABD Hazine Bakanlığı’nı hedef alan son siber saldırının, daha önce Microsoft’taki dört güvenlik açığının sıfır gün istismarına atfedilen, Silk Typhoon (aka Hafnium) olarak bilinen bir bilgisayar korsanlığı grubu tarafından gerçekleştirildiğini belirten bir raporun ortasında geldi. Exchange Server (diğer adıyla ProxyLogon) 2021’in başlarında.