_Zu den Datenquellen gehören die Recorded Future ® -Plattform, DNSDB von Farsight Security, SecurityTrails, VirusTotal, Shodan, BinaryEdge und gängige OSINT-Techniken. _

Dieser Bericht dürfte vor allem für Netzwerkverteidiger im privaten und öffentlichen Sektor sowie in Nichtregierungsorganisationen mit Präsenz in Asien von Interesse sein, ebenso wie für alle, die sich für die chinesische Geopolitik interessieren.

Executive Summary

In den zwei Monaten seit der letzten Berichterstattung der Insikt Group zeigte sich RedDelta von der umfangreichen öffentlichen Berichterstattung über seine Angriffe auf den Vatikan und andere katholische Organisationen weitgehend unbeeindruckt. Obwohl unmittelbar nach dieser Berichterstattung grundlegende operative Sicherheitsmaßnahmen durch die Änderung des Auflösungsstatus von Befehls- und Kontrolldomänen (C2) ergriffen wurden, blieben die Taktiken, Techniken und Verfahren (TTPs) der Gruppe unverändert. Die Hartnäckigkeit von RedDelta zeigt sich darin, dass das Unternehmen innerhalb von zwei Wochen nach Veröffentlichung des Berichts seine Angriffe auf die Mailserver des Vatikans und der katholischen Diözese Hongkong wieder aufnahm. Darüber hinaus gab es neue Aktivitäten, die wir der Gruppe zuschreiben. Dabei handelt es sich um PlugX-Samples mit Scheindokumenten zu den Themen Katholizismus, Beziehungen zwischen Tibet und Ladakh und Sicherheitsrat der Generalversammlung der Vereinten Nationen. Darüber hinaus kam es zu weiteren Netzwerkangriffen auf Systeme der Regierung von Myanmar und zwei Universitäten in Hongkong.

Wichtige Urteile

• RedDelta arbeitet weiterhin im Einklang mit den strategischen Prioritäten Chinas. Ein weiteres Beispiel hierfür ist das anhaltende Angriffsziel der Gruppe auf den Vatikan und die katholische Diözese Hongkong sowie der Einsatz gezielter Lockvogeldokumente zu aktuellen geopolitischen Themen der Volksrepublik China (VRC), wie etwa dem Katholizismus in China und den Beziehungen zwischen Tibet und Ladakh. Dabei handelt es sich um eine Vorgehensweise, die mit Cyber-Spionage-Operationen übereinstimmt.
• Die Wiederverwendung öffentlich bekannter Infrastrukturen und TTPs durch die Gruppe ist wahrscheinlich ein Anzeichen dafür, dass die Gruppe operativen Erfolg hat, und unterstreicht einen pragmatischen Ansatz hinsichtlich der operativen Sicherheit, wobei RedDelta gewillt ist, weiterhin öffentlich bekannte Infrastrukturen zu verwenden, solange der Zugriff aufrechterhalten wird.

Hintergrund

Am 28. Juli 2020 veröffentlichte die Insikt Group eine Studie, aus der hervorgeht, dass der Vatikan und die katholische Diözese Hongkong zu mehreren Organisationen gehören, die mit der katholischen Kirche in Verbindung stehen, die von der mutmaßlich vom chinesischen Staat gesponserten Bedrohungsgruppe RedDelta ins Visier genommen wurden. Diese Serie mutmaßlicher Netzwerkeingriffe zielte auch auf die Hongkonger Studienmission in China und das Päpstliche Institut für Auslandsmissionen (PIME) in Italien ab. Die Insikt Group kam zu dem Schluss, dass die Angriffe auf Organisationen, die mit der katholischen Kirche in Verbindung stehen, wahrscheinlich ein Hinweis auf die Ziele der Kommunistischen Partei Chinas (KPCh) sind, die Kontrolle über die katholische Untergrundkirche zu festigen, die "Religionen" in China zu "sinisieren und den wahrgenommenen Einfluss des Vatikans auf die katholische Gemeinschaft Chinas zu verringern".

Zusätzlich zu den Angriffen auf Einrichtungen mit Verbindungen zur katholischen Kirche identifizierte die Insikt Group auch Netzwerkeinbrüche, die sich auf Strafverfolgungs- und Regierungsbehörden in Indien, eine Regierungsorganisation in Indonesien und andere nicht identifizierte Ziele in Myanmar, Hongkong und Australien auswirkten. Bei dieser Aktivität verwendete die Gruppe mehrere Malware-Varianten, darunter eine angepasste PlugX-Variante namens „RedDelta PlugX“, Cobalt Strike Beacon und Poison Ivy.

Bedrohungsanalyse

RedDelta bereinigt nach der Veröffentlichung

Nach der Veröffentlichung des ursprünglichen RedDelta-Berichts am 28. Juli 2020 ergriff die Gruppe eine Reihe von Ausweichmaßnahmen im Zusammenhang mit der bei den Einbrüchen verwendeten Infrastruktur, darunter die Änderung der IP-Auflösungen in mehreren der identifizierten Befehls- und Kontrolldomänen (C2). Beispielsweise wurde die Auflösung aller im Cluster „Poison Ivy/Cobalt Strike“ identifizierten C2-Subdomänen weniger als einen Tag nach der Veröffentlichung der RedDelta-Forschung gestoppt.

Darüber hinaus die Hosting-IP für die PlugX C2-Domäne cabsecnow[.]com wurde am 3. August 2020 von 167.88.180[.]32 auf 103.85.24[.]149 umgestellt. Dies traf jedoch nicht auf die gesamte identifizierte Infrastruktur zu. Viele der PlugX C2-Server blieben aktiv und wurden bei mehreren der im ersten Bericht festgestellten Einbrüche weiterhin verwendet. Dieser Kontrast unterstreicht die Bereitschaft der Gruppe, öffentlich bekannte Infrastruktur weiterhin zu nutzen, solange der Zugriff gewährleistet bleibt.

RedDelta nimmt den Vatikan und die katholische Diözese Hongkong erneut ins Visier

Bei der Analyse der Kommunikation zwischen den Zielorganisationen und der RedDelta C2-Infrastruktur mithilfe der Recorded Future Network Traffic Analysis stellten wir fest, dass die Netzwerkkommunikation zwischen katholischen Kirchenorganisationen unmittelbar nach der Veröffentlichung des Berichts zum Erliegen kam. Dieser Angriff war jedoch nur von kurzer Dauer, denn zehn Tage später nahm die Gruppe erneut den Mailserver der katholischen Diözese Hongkong ins Visier und 14 Tage später einen Mailserver des Vatikans. Dies ist ein Hinweis darauf, dass RedDelta beharrlich darauf besteht, zum Sammeln von Informationen Zugang zu diesen Umgebungen zu erhalten, zusätzlich zu der bereits erwähnten hohen Risikotoleranz der Gruppe.

Am 10. September 2020 gab das chinesische Außenministerium bekannt , dass das Abkommen zwischen der VR China und dem Heiligen Stuhl von 2018 "erfolgreich umgesetzt" worden sei und eine Erneuerung des Abkommens in den kommenden Wochen angekündigt werden soll . Dem Zeitpunkt dieser Ankündigung ging eine Woche zuvor ein Absterben der RedDelta-Aktivitäten voraus, die auf das vatikanische Netzwerk abzielten, und folgt auf einen Besuch des chinesischen Außenministers Wang Yi in Rom Ende August, was darauf hindeutet, dass die Anforderung der Gruppe an die Geheimdienstaufgabe möglicherweise erfüllt wurde oder nicht mehr erforderlich ist. In der Zwischenzeit seit unserem letzten Bericht ist unklar, ob es der Gruppe gelungen ist, wieder Zugang zum vatikanischen Netzwerk zu erhalten. Die Versuche, dies zu tun, gefolgt von der Veröffentlichung neuer Dokumente zum Thema der katholischen Kirche von RedDelta, unterstreichen jedoch erneut den Fokus der KPCh auf eine verstärkte Aufsicht über die katholische Gemeinschaft in China.

Weitere Zielsetzungen im Einklang mit chinesischen strategischen Interessen

RedDelta nimmt weiterhin Organisationen ins Visier, die mit den strategischen und geopolitischen Interessen Chinas in Einklang stehen. In früheren Berichten haben wir eine Reihe von Netzwerkeinbrüchen und Phishing-Versuchen, die auf mehrere katholische Kirchenorganisationen abzielten, mit der Gruppe in Verbindung gebracht. Diese fanden im Vorfeld der Gespräche zwischen den beiden Staaten im Zuge der erwarteten Erneuerung des Abkommens zwischen China und dem Vatikan aus dem Jahr 2018 statt. In der Zwischenzeit hat die Gruppe zusätzliche Köder mit Verweisen auf Katholiken in China, die Beziehungen zwischen Tibet und Ladakh sowie den Sicherheitsrat der Generalversammlung der Vereinten Nationen verwendet, um zu versuchen, PlugX auf Zielcomputer zu laden.

Die erste Probe wird auf ähnliche Weise geladen wie die im vorherigen RedDelta-Bericht beschriebenen Proben. In der ersten Stufe des seitlichen Ladens der DLL wird erneut eine legitime ausführbare Microsoft Word-Datei verwendet, um einen DLL-Loader der ersten Stufe seitlich zu laden, wobei beide Dateien zunächst in einer ZIP-Datei gespeichert werden. In diesem Fall war die ZIP-Datei offenbar auf Google Drive gespeichert und der Benutzer wurde wahrscheinlich dazu aufgefordert, sie über einen Spearphishing-Link herunterzuladen. Nach der ersten Phase des seitlichen Ladens der DLL wird eine verschlüsselte PlugX DAT-Nutzlast von http://103.85.24[.]161/8.dat abgerufen.

Anders als zuvor identifizierte RedDelta PlugX-Samples verwendet dieses für die zweite Phase des seitlichen Ladens der DLL eine legitime ausführbare Avast-Proxy-Datei und nicht die legitime ausführbare Adobe-Datei, die in zuvor analysierten Samples verwendet wurde. Beim Laden in den Speicher verwendet die PlugX-Nutzlast www.systeminfor[.]com für Befehle und Kontrolle – dieselbe Domäne, die in allen PlugX-Beispielen mit katholischer Kirche-Thema verwendet wird. Bei allen vier neu analysierten Beispielen weisen die DLL-Loader-Dateien der ersten Stufe einen identischen, ungewöhnlichen Import-Hash und Rich Header mit den zuvor beobachteten RedDelta PlugX-DLLs der ersten Stufe auf. Die geladene PlugX-Nutzlast entspricht auch der zuvor beschriebenen benutzerdefinierten RedDelta PlugX-Variante und verwendet RC4-Verschlüsselung für C2-Kommunikation mit derselben fest codierten RC4-Passphrase und Konfigurationsblock-Decodierungsfunktion.

In diesem Beispiel wird dem Benutzer ein Scheindokument mit dem Titel „Geschichte der Beziehungen zwischen Tibet und Ladakh und ihre modernen Auswirkungen“ angezeigt, wie in Abbildung 3 dargestellt. Obwohl die konkrete Zielgruppe dieser Stichprobe unklar ist, ist die Bezugnahme auf Ladakh besonders interessant, da sich die Spannungen an der Grenze zwischen China und Indien in dieser Region in jüngster Zeit verschärft haben und Tibet weiterhin häufig Ziel staatlich geförderter Cyber-Spionage aus China ist. Ähnlich wie bei mehreren anderen RedDelta-Beispielen stammt der Inhalt des Lockvogeldokuments aus legitimen Quellen, in diesem Fall aus einem Artikel der asiatisch-pazifischen Nachrichtenseite The Diplomat vom Juli 2020.

Das zweite PlugX-Beispiel wird auf fast identische Weise wie das Tibet-Ladakh-Beispiel oben geladen. In diesem Fall wird die verschlüsselte PlugX-DAT-Nutzlast von http://103.85.24[.]158/eeas.dat abgerufen. Das Beispiel verwendet dieselbe für DLL-Sideloading anfällige ausführbare Datei von Adobe, die auch in einem der PlugX-Beispiele der katholischen Kirche zu sehen ist, und nutzt für das Sideloading der zweiten Stufe die ausführbare Datei Avast Proxy, die im obigen Tibet-Ladakh-Beispiel zu sehen ist. In diesem Fall war die ZIP-Datei offenbar auf Dropbox gespeichert und wurde vermutlich ebenfalls durch Spearphishing übermittelt, das einen bösartigen Link enthielt. Dieses PlugX-Beispiel verwendet wieder www.systeminfor[.]com für Befehle und Kontrolle.

Das 18-seitige Köderdokument, das in dieser Stichprobe verwendet wird (siehe Abbildung 4), gibt vor, eine fortgeschrittene, unbearbeitete Kopie des vom Generalsekretär der Generalversammlung der Vereinten Nationen verfassten "Berichts des Generalsekretärs 2020 über Friedenskonsolidierung und Friedenserhaltung" zu sein. Der legitime Bericht wurde jedoch höchstwahrscheinlich von der Website der Vereinten Nationen bezogen und manipuliert, um die Klassifizierung "Advanced Unedited Edition" hinzuzufügen und das Datum zu ändern. Der legitime Bericht wurde am 4. August 2020 veröffentlicht, im Vorfeld der fünfundsiebzigsten Tagung der Generalversammlung, die im Oktober stattfinden soll. Auf ihrer Website erklären die Vereinten Nationen, dass das Papier der wichtigste Beitrag zur Überprüfung der UN-Architektur für Friedenskonsolidierung im Jahr 2020 sein wird und dass der Bericht von einer Kerngruppe von UN-Einrichtungen erstellt wird.

Während das konkrete Ziel dieser speziellen Stichprobe unklar ist, wurde die Verwendung öffentlicher Dokumente zu aktuellen geopolitischen Themen als Lockvogel bereits zuvor bei mehreren RedDelta-Ködern beobachtet. Darüber hinaus bezieht sich der in diesem Beispiel angezeigte DAT-Nutzlastdateiname „eeas.dat“ möglicherweise auf den Europäischen Auswärtigen Dienst (EAD), den diplomatischen Dienst und das kombinierte Außen- und Verteidigungsministerium der Europäischen Union. Mustang Panda, eine sich stark überschneidende Bedrohungsaktivitätsgruppe, hat bereits zuvor bei historischen Aktivitäten einen Köder mit dem Thema UN-Sicherheitsrat verwendet .

Die letzten beiden RedDelta PlugX-Samples ähneln wieder stark den anderen, da beide die DAT-Nutzlast von http://103.85.24[.]Nr. 158/hk097.dat, bevor schließlich quochoice[.]COM für Befehl und Kontrolle. Diese Domain wird derzeit auf der 2EZ Network IP 167.88.177[.]179, Die gesamte neu identifizierte Infrastruktur folgt einem zuvor festgestellten Trend bei bevorzugten Hosting-Anbietern. Eine der Stichproben mit dem Titel "Wie Katholiken sich an Veränderungen in China anpassen: Eine missiologische Perspektive" stammt aus den Schriften eines chinesischen katholischen Gelehrten und konzentriert sich auf das Christentum in China, während die andere aus einem Artikel von Independent Catholic News vom Februar 2020 stammt. Dies unterstreicht erneut die Aufgabe von RedDelta, Informationen über Organisationen und Personen zu sammeln, die mit der katholischen Kirche in Verbindung stehen.

RedDelta in Myanmar und Hongkong

In unserer früheren RedDelta-Berichterstattung haben wir eine breite Palette von Netzwerkkommunikationen zwischen IP-Adressen, die Telekommunikationsanbietern in Myanmar und Hongkong zugewiesen wurden, und der RedDelta C2-Infrastruktur beobachtet. Sowohl Hongkong als auch Myanmar waren in der Vergangenheit Ziele der sich eng überschneidenden Gruppe Mustang Panda (1,2). In der Zwischenzeit haben wir festgestellt, dass PlugX (C2 103.85.24[.]149) Netzwerkeinbrüche, die wahrscheinlich auf Regierungssysteme in Myanmar abzielen und die wir RedDelta zuschreiben. Dazu gehörte ein VPN-Login-Portal für ein elektronisches Dokumentenmanagementsystem der myanmarischen Regierung. Wir gehen davon aus, dass RedDelta diese Aktivität vom 4. August (und möglicherweise früher) bis mindestens zum 2. September 2020 durchgeführt hat. Der Zugriff auf diese Systeme wäre wahrscheinlich eine wertvolle Informationsquelle für den Zugriff auf elektronische Dokumente, die auf dem System gespeichert sind.

Zusätzlich zu diesem neuen Opfer in Myanmar identifizierten wir weitere PlugX (C2 85.209.43[.]21 Netzwerkeinbrüche, die wahrscheinlich auf zwei Hongkonger Universitäten abzielen. Diese IP-Adresse hostet derzeit die Domäne ipsoftwarelabs[.]COM Dies wurde zuvor in der Berichterstattung über Aktivitäten erwähnt, die auf Hongkong abzielen und eine ältere PlugX-Variante verwenden. Obwohl Metadaten allein keine Kompromittierung bestätigen, glauben wir, dass sowohl das hohe Volumen als auch die wiederholte Kommunikation von Hosts innerhalb dieser Zielorganisationen mit diesen C2s ausreichen, um auf ein wahrscheinliches Eindringen hinzuweisen.

Gegenmaßnahmen

• Konfigurieren Sie Ihre Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) oder andere Netzwerkabwehrmechanismen, um bei den in Anhang A aufgeführten externen IP-Adressen und Domänen eine Warnung zu erhalten – und erwägen Sie bei der Überprüfung, unerlaubte Verbindungsversuche von diesen zu blockieren.
• Stellen Sie sicher, dass die Systemkonfiguration (einschließlich Zugriffskontrolle) für intern und extern zugängliche Systeme ordnungsgemäß ausgewertet wird und dass auf allen Systemen sichere Kennwörter verwendet werden.
• Segmentieren Sie Ihr Netzwerk und sorgen Sie für besonderen Schutz vertraulicher Informationen, etwa durch eine mehrstufige Authentifizierung und einen stark eingeschränkten Zugriff und Speicherort auf Systemen, auf die nur über ein internes Netzwerk zugegriffen werden kann.
• Deaktivieren Sie nach Möglichkeit die Basis- und Legacy-Authentifizierung, da Angreifer hierdurch die vorhandenen Sicherheitsmaßnahmen umgehen können.
• Halten Sie sämtliche Software und Anwendungen auf dem neuesten Stand – insbesondere Betriebssysteme, Antivirensoftware und wichtige Systemdienstprogramme.
• Filtern Sie E-Mail-Korrespondenz und überprüfen Sie Anhänge auf Malware.
• Setzen Sie hostbasierte Kontrollen ein. Zu den besten Abwehrmaßnahmen und Warnsignalen zur Abwehr von Angriffen zählen clientbasierte Host-Protokollierungs- und Angriffserkennungsfunktionen.
• Implementieren Sie grundlegende Bereitstellungen und Kontrollen zur Reaktion auf Vorfälle und zur Erkennung, wie Netzwerk-IDS, Netflow-Sammlung, Host-Protokollierung und Web-Proxy, neben der menschlichen Überwachung der Erkennungsquellen.

Ausblick

Die Wiederverwendung öffentlich gemeldeter Infrastrukturen und TTPs durch RedDelta verdeutlicht einen Kontrast in der Risikobereitschaft der vom chinesischen Staat geförderten Bedrohungsaktivitätsgruppen. Während einige Gruppen trotz umfangreicher öffentlicher Berichterstattung weiterhin sehr aktiv sind (wie etwa APT41 und RedDelta), ändern andere, wie etwa APT3, als Reaktion auf öffentliche Berichterstattung ihr Verhalten drastisch oder reduzieren ihre Aktivitäten. In allen Fällen führt die plausible Abstreitbarkeit von Computer Network Exploitation (CNE)-Operationen dazu, dass die VR China trotz der historischen Beweislage regelmäßig jegliche Beteiligung an solchen Aktivitäten abstreitet (1,2), auch im Fall RedDelta.

Angesichts der anhaltenden RedDelta-Aktivität trotz umfangreicher öffentlicher Berichterstattung erwarten wir, dass die Gruppe mit geringfügigen Anpassungen der TTPs weiterhin mit hohem Betriebstempo operieren wird. In früheren Berichten haben wir darauf hingewiesen, dass die Gruppe gezielt Organisationen wie religiöse Organisationen und Nichtregierungsorganisationen (NGOs) ins Visier nimmt, denen es oft an der Fähigkeit oder dem Willen mangelt, ausreichend in Sicherheits- und Erkennungsmaßnahmen zu investieren. Dies dürfte die Bereitschaft der Gruppe, öffentlich bekannte Infrastrukturen und TTPs wiederzuverwenden, weiter verstärken.