Zurück trotz Störung: RedDelta nimmt Betrieb wieder auf

Die Forscher der Insikt Group ® nutzten die proprietäre Recorded Future Network Traffic Analysis und RAT-Controller-Erkennung sowie gängige Analysetechniken, um die Aktivitäten der mutmaßlich vom chinesischen Staat gesponserten Bedrohungsgruppe RedDelta weiterhin zu verfolgen.

_Zu den Datenquellen gehören die Recorded Future ® -Plattform, DNSDB von Farsight Security, SecurityTrails, VirusTotal, Shodan, BinaryEdge und gängige OSINT-Techniken. _

Dieser Bericht dürfte vor allem für Netzwerkverteidiger im privaten und öffentlichen Sektor sowie in Nichtregierungsorganisationen mit Präsenz in Asien von Interesse sein, ebenso wie für alle, die sich für die chinesische Geopolitik interessieren.

Executive Summary

In den zwei Monaten seit der letzten Berichterstattung der Insikt Group zeigte sich RedDelta von der umfangreichen öffentlichen Berichterstattung über seine Angriffe auf den Vatikan und andere katholische Organisationen weitgehend unbeeindruckt. Obwohl unmittelbar nach dieser Berichterstattung grundlegende operative Sicherheitsmaßnahmen durch die Änderung des Auflösungsstatus von Befehls- und Kontrolldomänen (C2) ergriffen wurden, blieben die Taktiken, Techniken und Verfahren (TTPs) der Gruppe unverändert. Die Hartnäckigkeit von RedDelta zeigt sich darin, dass das Unternehmen innerhalb von zwei Wochen nach Veröffentlichung des Berichts seine Angriffe auf die Mailserver des Vatikans und der katholischen Diözese Hongkong wieder aufnahm. Darüber hinaus gab es neue Aktivitäten, die wir der Gruppe zuschreiben. Dabei handelt es sich um PlugX-Samples mit Scheindokumenten zu den Themen Katholizismus, Beziehungen zwischen Tibet und Ladakh und Sicherheitsrat der Generalversammlung der Vereinten Nationen. Darüber hinaus kam es zu weiteren Netzwerkangriffen auf Systeme der Regierung von Myanmar und zwei Universitäten in Hongkong.

Wichtige Urteile

• RedDelta arbeitet weiterhin im Einklang mit den strategischen Prioritäten Chinas. Ein weiteres Beispiel hierfür ist das anhaltende Angriffsziel der Gruppe auf den Vatikan und die katholische Diözese Hongkong sowie der Einsatz gezielter Lockvogeldokumente zu aktuellen geopolitischen Themen der Volksrepublik China (VRC), wie etwa dem Katholizismus in China und den Beziehungen zwischen Tibet und Ladakh. Dabei handelt es sich um eine Vorgehensweise, die mit Cyber-Spionage-Operationen übereinstimmt.
• Die Wiederverwendung öffentlich bekannter Infrastrukturen und TTPs durch die Gruppe ist wahrscheinlich ein Anzeichen dafür, dass die Gruppe operativen Erfolg hat, und unterstreicht einen pragmatischen Ansatz hinsichtlich der operativen Sicherheit, wobei RedDelta gewillt ist, weiterhin öffentlich bekannte Infrastrukturen zu verwenden, solange der Zugriff aufrechterhalten wird.

Hintergrund

Am 28. Juli 2020 veröffentlichte die Insikt Group eine Studie, aus der hervorgeht, dass der Vatikan und die katholische Diözese Hongkong zu mehreren mit der katholischen Kirche verbundenen Organisationen gehörten, die im Visier der mutmaßlich vom chinesischen Staat gesponserten Bedrohungsaktivitätsgruppe RedDelta standen. Diese Reihe mutmaßlicher Netzwerkeinbrüche zielte auch auf die Hong Kong Study Mission to China und das Päpstliche Institut für Außenmissionen (PIME) in Italien ab. Nach Einschätzung der Insikt Group sind die gezielten Angriffe auf mit der katholischen Kirche verbundene Organisationen wahrscheinlich ein Hinweis auf die Ziele der Kommunistischen Partei Chinas (KPCh), die darin besteht, die Kontrolle über die katholische „Untergrundkirche“ zu festigen, die „ Religionen in China zu sinisieren“ und den wahrgenommenen Einfluss des Vatikans innerhalb der katholischen Gemeinschaft Chinas zu verringern.

Zusätzlich zu den Angriffen auf Einrichtungen mit Verbindungen zur katholischen Kirche identifizierte die Insikt Group auch Netzwerkeinbrüche, die sich auf Strafverfolgungs- und Regierungsbehörden in Indien, eine Regierungsorganisation in Indonesien und andere nicht identifizierte Ziele in Myanmar, Hongkong und Australien auswirkten. Bei dieser Aktivität verwendete die Gruppe mehrere Malware-Varianten, darunter eine angepasste PlugX-Variante namens „RedDelta PlugX“, Cobalt Strike Beacon und Poison Ivy.

Bedrohungsanalyse

RedDelta bereinigt nach der Veröffentlichung

Nach der Veröffentlichung des ursprünglichen RedDelta-Berichts am 28. Juli 2020 ergriff die Gruppe eine Reihe von Ausweichmaßnahmen im Zusammenhang mit der bei den Einbrüchen verwendeten Infrastruktur, darunter die Änderung der IP-Auflösungen in mehreren der identifizierten Befehls- und Kontrolldomänen (C2). Beispielsweise wurde die Auflösung aller im Cluster „Poison Ivy/Cobalt Strike“ identifizierten C2-Subdomänen weniger als einen Tag nach der Veröffentlichung der RedDelta-Forschung gestoppt.

Tabelle 1: “Poison Ivy Cluster” domains that stopped resolving the day after report publication.

Additionally, the hosting IP for the PlugX C2 domain cabsecnow[.]com was switched from 167.88.180[.]32 to 103.85.24[.]149 on August 3, 2020. However, this was not the case for all of the identified infrastructure. Many of the PlugX C2 servers remained live and continued to be used across several of the intrusions identified within the initial report. This contrast highlights the group’s willingness to continue to use publicly known infrastructure as long as access is maintained.

RedDelta nimmt den Vatikan und die katholische Diözese Hongkong erneut ins Visier

Abbildung 1: Network traffic between Catholic Diocese of Hong Kong and RedDelta C2 infrastructure.

Bei der Analyse der Kommunikation zwischen den Zielorganisationen und der RedDelta C2-Infrastruktur mithilfe der Recorded Future Network Traffic Analysis stellten wir fest, dass die Netzwerkkommunikation zwischen katholischen Kirchenorganisationen unmittelbar nach der Veröffentlichung des Berichts zum Erliegen kam. Dieser Angriff war jedoch nur von kurzer Dauer, denn zehn Tage später nahm die Gruppe erneut den Mailserver der katholischen Diözese Hongkong ins Visier und 14 Tage später einen Mailserver des Vatikans. Dies ist ein Hinweis darauf, dass RedDelta beharrlich darauf besteht, zum Sammeln von Informationen Zugang zu diesen Umgebungen zu erhalten, zusätzlich zu der bereits erwähnten hohen Risikotoleranz der Gruppe.

Am 10. September 2020 gab das chinesische Außenministerium bekannt, dass das Abkommen zwischen der Volksrepublik China und dem Heiligen Stuhl aus dem Jahr 2018 „erfolgreich umgesetzt“ worden sei. Die Ankündigung einer Verlängerung des Abkommens werde in den kommenden Wochen erwartet . Diese Ankündigung erfolgte bereits eine Woche zuvor, nachdem die Aktivitäten von RedDelta gegen das vatikanische Netzwerk abgeflaut waren. Zudem folgte sie einem Besuch des chinesischen Außenministers Wang Yi in Rom Ende August, was darauf schließen lässt, dass die Geheimdienstaufgabe der Gruppe möglicherweise erfüllt wurde oder nicht mehr erforderlich ist. Ob es der Gruppe gelungen ist, sich wieder Zugang zum vatikanischen Netzwerk zu verschaffen, ist seit unserem letzten Bericht unklar. Diese Versuche und das darauf folgende Auftauchen neuer Lockdokumente mit dem Thema der katholischen Kirche bei RedDelta unterstreichen jedoch erneut, dass die KPCh bestrebt ist, eine stärkere Kontrolle über die katholische Gemeinschaft in China zu erlangen.

Figur 2: Timeline of Recent RedDelta activity. (Source: Recorded Future)

Weitere Zielsetzungen im Einklang mit chinesischen strategischen Interessen

RedDelta nimmt weiterhin Organisationen ins Visier, die mit den strategischen und geopolitischen Interessen Chinas in Einklang stehen. In früheren Berichten haben wir eine Reihe von Netzwerkeinbrüchen und Phishing-Versuchen, die auf mehrere katholische Kirchenorganisationen abzielten, mit der Gruppe in Verbindung gebracht. Diese fanden im Vorfeld der Gespräche zwischen den beiden Staaten im Zuge der erwarteten Erneuerung des Abkommens zwischen China und dem Vatikan aus dem Jahr 2018 statt. In der Zwischenzeit hat die Gruppe zusätzliche Köder mit Verweisen auf Katholiken in China, die Beziehungen zwischen Tibet und Ladakh sowie den Sicherheitsrat der Generalversammlung der Vereinten Nationen verwendet, um zu versuchen, PlugX auf Zielcomputer zu laden.

Figur 3: “History of Tibet-Ladakh Relations and Their Modern Implications” PlugX decoy document.

The first sample is loaded in a similar manner as the samples described within the previous RedDelta report. The first-stage DLL side-loading phase again uses a legitimate Microsoft Word executable to side-load a first-stage DLL loader, with both files initially stored inside a zip file. On this occasion, the zip file appears to have been stored on Google Drive, with the user likely directed to download it via a spearphishing link. Following the first DLL side-loading phase, an encrypted PlugX DAT payload is retrieved from http://103.85.24[.]161/8.dat.

Tabelle 2: Contents of “History of Tibet-Ladakh Relations and Their Modern Implications.zip” for first stage DLL side-loading.

Anders als zuvor identifizierte RedDelta PlugX-Samples verwendet dieses für die zweite Phase des seitlichen Ladens der DLL eine legitime ausführbare Avast-Proxy-Datei und nicht die legitime ausführbare Adobe-Datei, die in zuvor analysierten Samples verwendet wurde. Beim Laden in den Speicher verwendet die PlugX-Nutzlast www.systeminfor[.]com für Befehle und Kontrolle – dieselbe Domäne, die in allen PlugX-Beispielen mit katholischer Kirche-Thema verwendet wird. Bei allen vier neu analysierten Beispielen weisen die DLL-Loader-Dateien der ersten Stufe einen identischen, ungewöhnlichen Import-Hash und Rich Header mit den zuvor beobachteten RedDelta PlugX-DLLs der ersten Stufe auf. Die geladene PlugX-Nutzlast entspricht auch der zuvor beschriebenen benutzerdefinierten RedDelta PlugX-Variante und verwendet RC4-Verschlüsselung für C2-Kommunikation mit derselben fest codierten RC4-Passphrase und Konfigurationsblock-Decodierungsfunktion.

In diesem Beispiel wird dem Benutzer ein Scheindokument mit dem Titel „Geschichte der Beziehungen zwischen Tibet und Ladakh und ihre modernen Auswirkungen“ angezeigt, wie in Abbildung 3 dargestellt. Obwohl die konkrete Zielgruppe dieser Stichprobe unklar ist, ist die Bezugnahme auf Ladakh besonders interessant, da sich die Spannungen an der Grenze zwischen China und Indien in dieser Region in jüngster Zeit verschärft haben und Tibet weiterhin häufig Ziel staatlich geförderter Cyber-Spionage aus China ist. Ähnlich wie bei mehreren anderen RedDelta-Beispielen stammt der Inhalt des Lockvogeldokuments aus legitimen Quellen, in diesem Fall aus einem Artikel der asiatisch-pazifischen Nachrichtenseite The Diplomat vom Juli 2020.

Figur 4: “Advance version of the 2020 Report of the Secretary-General on Peacebuilding and Sustaining Peace” PlugX decoy document snippet.

The second PlugX sample is loaded in an almost identical manner to the Tibet-Ladakh one above, in this case retrieving the encrypted PlugX DAT payload from http://103.85.24[.]158/eeas.dat. The sample uses the same Adobe executable vulnerable to DLL side-loading seen in one of the Catholic church PlugX samples, and uses the Avast Proxy executable seen in the above Tibet-Ladakh sample for the second stage side-loading. On this occasion, the zip file appears to have been stored on Dropbox, and again, was likely delivered through spearphishing containing a malicious link. This PlugX sample again uses www.systeminfor[.]com for command and control.

Tisch 3: Contents of “Advance version of the 2020 Report of the Secretary-General on Peacebuilding and Sustaining Peace.zip” for first stage DLL side-loading.

Das in dieser Probe verwendete 18-seitige Lockvogeldokument (siehe Abbildung 4) gibt vor, eine erweiterte, unbearbeitete Kopie des „Berichts des Generalsekretärs über Friedenskonsolidierung und Friedenserhaltung 2020“ zu sein, der vom Generalsekretär der Generalversammlung der Vereinten Nationen verfasst wurde. Der legitime Bericht stammt jedoch höchstwahrscheinlich von der Website der Vereinten Nationen und wurde manipuliert, indem ihm die Klassifizierung „Advanced Unedited Edition“ hinzugefügt und das Datum geändert wurde. Der legitime Bericht wurde am 4. August 2020 vor der 75. Sitzung der Generalversammlung veröffentlicht, die im Oktober stattfinden soll. Auf der Website der UNO heißt es , dass das Papier den wichtigsten Beitrag zur Überprüfung der UN-Friedensaufbauarchitektur im Jahr 2020 darstellen wird und dass der Bericht von einer Kerngruppe von UN-Einrichtungen erstellt wird.

Während das spezifische Ziel dieser speziellen Probe unklar ist, wurde die Verwendung öffentlicher Dokumente zu aktuellen geopolitischen Themen als Lockvogel bereits zuvor in mehreren RedDelta-Ködern beobachtet. Darüber hinaus bezieht sich der in diesem Beispiel angezeigte DAT-Nutzlastdateiname „eeas.dat“ möglicherweise auf den Europäischen Auswärtigen Dienst (EAD), den diplomatischen Dienst und das kombinierte Außen- und Verteidigungsministerium der Europäischen Union. Mustang Panda, eine Bedrohungsaktivitätsgruppe mit engen Überschneidungen, hat bei historischen Aktivitäten bereits zuvor einen Köder mit dem Thema UN-Sicherheitsrat eingesetzt .

Abbildung 5: “How Catholics Adapt to Changes in China: A Missiological Perspective” (Left) and “Catholic Bishops call for urgent Cameroon peace talks” (Right) PlugX decoy document snippets.

The final two RedDelta PlugX samples again closely resemble the others, both retrieving the DAT payload from http://103.85.24[.]158/hk097.dat, before ultimately using quochoice[.]com for command and control. This domain is currently hosted on the 2EZ Network IP 167.88.177[.]179, with all of the newly identified infrastructure following a previously noted trend in favoured hosting providers. One of the samples, titled “How Catholics Adapt to Changes in China: A Missiological Perspective,” is taken from the writings of a Chinese Catholic scholar and focuses on Christianity in China, while the other is taken from a February 2020 article by Independent Catholic News. This again highlights RedDelta’s tasking in gathering intelligence on organizations and individuals associated with the Catholic church.

Tabelle 4: Contents of “How Catholics Adapt to Changes in China A Missiological Perspective.zip” for first-stage DLL side-loading.

Tabelle 5: Contents of “Catholic Bishops call for urgent Cameroon peace talks.zip” for first-stage DLL side-loading.

RedDelta in Myanmar und Hongkong

In our previous RedDelta reporting, we observed a wide range of network communications between IP addresses assigned to Myanmar and Hong Kong telecommunication providers and RedDelta C2 infrastructure. Both Hong Kong and Myanmar have been historical targets of the closely overlapping group Mustang Panda (1,2). In the interim period, we identified PlugX (C2 103.85.24[.]149) network intrusions likely targeting government systems in Myanmar that we attribute to RedDelta. This included a VPN login portal for a Myanmar government electronic document management system. We believe RedDelta conducted this activity from August 4 (and possibly earlier) through at least September 2, 2020. Access to these systems would likely be a valuable intelligence source for accessing electronic documents stored on the system.

In addition to this new victim within Myanmar, we identified additional PlugX (C2 85.209.43[.]21 network intrusions likely targeting two Hong Kong universities. This IP address currently hosts the domain ipsoftwarelabs[.]com, which was previously noted within reporting on activity targeting Hong Kong using an older PlugX variant. While metadata alone does not confirm a compromise, we believe that both the high volume and repeated communications from hosts within these targeted organizations to these C2s are sufficient to indicate a likely intrusion.

Gegenmaßnahmen

• Konfigurieren Sie Ihre Intrusion Detection Systeme (IDS), Intrusion Prevention Systeme (IPS) oder andere vorhandene Netzwerkabwehrmechanismen so, dass sie bei den in Anhang A aufgeführten externen IP-Adressen und Domänen eine Warnung ausgeben und die Blockierung unzulässiger Verbindungsversuche in Erwägung ziehen.
• Stellen Sie sicher, dass die Systemkonfiguration (einschließlich Zugriffskontrolle) für intern und extern zugängliche Systeme ordnungsgemäß ausgewertet wird und dass auf allen Systemen sichere Kennwörter verwendet werden.
• Segmentieren Sie Ihr Netzwerk und sorgen Sie für besonderen Schutz vertraulicher Informationen, etwa durch eine mehrstufige Authentifizierung und einen stark eingeschränkten Zugriff und Speicherort auf Systemen, auf die nur über ein internes Netzwerk zugegriffen werden kann.
• Deaktivieren Sie nach Möglichkeit die Basis- und Legacy-Authentifizierung, da Angreifer hierdurch die vorhandenen Sicherheitsmaßnahmen umgehen können.
• Halten Sie sämtliche Software und Anwendungen auf dem neuesten Stand – insbesondere Betriebssysteme, Antivirensoftware und wichtige Systemdienstprogramme.
• Filtern Sie E-Mail-Korrespondenz und überprüfen Sie Anhänge auf Malware.
• Setzen Sie hostbasierte Kontrollen ein. Zu den besten Abwehrmaßnahmen und Warnsignalen zur Abwehr von Angriffen zählen clientbasierte Host-Protokollierungs- und Angriffserkennungsfunktionen.
• Implementieren Sie grundlegende Bereitstellungen und Kontrollen zur Reaktion auf Vorfälle und zur Erkennung, wie Netzwerk-IDS, Netflow-Sammlung, Host-Protokollierung und Web-Proxy, neben der menschlichen Überwachung der Erkennungsquellen.

Ausblick

Die Wiederverwendung öffentlich gemeldeter Infrastrukturen und TTPs durch RedDelta verdeutlicht einen Kontrast in der Risikobereitschaft der vom chinesischen Staat gesponserten Bedrohungsaktivitätsgruppen. Während einige Gruppen trotz umfangreicher öffentlicher Berichterstattung weiterhin hochaktiv sind (wie etwa APT41 und RedDelta), ändern andere wie etwa APT3 als Reaktion auf öffentliche Berichterstattung ihr Verhalten drastisch oder reduzieren ihre Aktivität. In allen Fällen führt die glaubhafte Abstreitbarkeit von Computer Network Exploitation (CNE)-Operationen dazu, dass die VR China trotz umfangreicher historischer Beweise regelmäßig jede Beteiligung an derartigen Aktivitäten abstreitet (1,2). Dies gilt auch im Fall RedDelta.

Angesichts der anhaltenden RedDelta-Aktivität trotz umfangreicher öffentlicher Berichterstattung erwarten wir, dass die Gruppe mit geringfügigen Anpassungen der TTPs weiterhin mit hohem Betriebstempo operieren wird. In früheren Berichten haben wir darauf hingewiesen, dass die Gruppe gezielt Organisationen wie religiöse Organisationen und Nichtregierungsorganisationen (NGOs) ins Visier nimmt, denen es oft an der Fähigkeit oder dem Willen mangelt, ausreichend in Sicherheits- und Erkennungsmaßnahmen zu investieren. Dies dürfte die Bereitschaft der Gruppe, öffentlich bekannte Infrastrukturen und TTPs wiederzuverwenden, weiter verstärken.