>
Research (Insikt)

Zurück trotz Störung: RedDelta nimmt Betrieb wieder auf

Veröffentlicht: 15. September 2020
Von: Insikt Group®

insikt-group-logo-aktualisiert-3.png

Die Forscher der Insikt Group ® nutzten die proprietäre Recorded Future Network Traffic Analysis und RAT-Controller-Erkennung sowie gängige Analysetechniken, um die Aktivitäten der mutmaßlich vom chinesischen Staat gesponserten Bedrohungsgruppe RedDelta weiterhin zu verfolgen.

_Zu den Datenquellen gehören die Recorded Future ® -Plattform, DNSDB von Farsight Security, SecurityTrails, VirusTotal, Shodan, BinaryEdge und gängige OSINT-Techniken. _

Dieser Bericht dürfte vor allem für Netzwerkverteidiger im privaten und öffentlichen Sektor sowie in Nichtregierungsorganisationen mit Präsenz in Asien von Interesse sein, ebenso wie für alle, die sich für die chinesische Geopolitik interessieren.

Executive Summary

In den zwei Monaten seit der letzten Berichterstattung der Insikt Group zeigte sich RedDelta von der umfangreichen öffentlichen Berichterstattung über seine Angriffe auf den Vatikan und andere katholische Organisationen weitgehend unbeeindruckt. Obwohl unmittelbar nach dieser Berichterstattung grundlegende operative Sicherheitsmaßnahmen durch die Änderung des Auflösungsstatus von Befehls- und Kontrolldomänen (C2) ergriffen wurden, blieben die Taktiken, Techniken und Verfahren (TTPs) der Gruppe unverändert. Die Hartnäckigkeit von RedDelta zeigt sich darin, dass das Unternehmen innerhalb von zwei Wochen nach Veröffentlichung des Berichts seine Angriffe auf die Mailserver des Vatikans und der katholischen Diözese Hongkong wieder aufnahm. Darüber hinaus gab es neue Aktivitäten, die wir der Gruppe zuschreiben. Dabei handelt es sich um PlugX-Samples mit Scheindokumenten zu den Themen Katholizismus, Beziehungen zwischen Tibet und Ladakh und Sicherheitsrat der Generalversammlung der Vereinten Nationen. Darüber hinaus kam es zu weiteren Netzwerkangriffen auf Systeme der Regierung von Myanmar und zwei Universitäten in Hongkong.

Wichtige Urteile

  • RedDelta arbeitet weiterhin im Einklang mit den strategischen Prioritäten Chinas. Ein weiteres Beispiel hierfür ist das anhaltende Angriffsziel der Gruppe auf den Vatikan und die katholische Diözese Hongkong sowie der Einsatz gezielter Lockvogeldokumente zu aktuellen geopolitischen Themen der Volksrepublik China (VRC), wie etwa dem Katholizismus in China und den Beziehungen zwischen Tibet und Ladakh. Dabei handelt es sich um eine Vorgehensweise, die mit Cyber-Spionage-Operationen übereinstimmt.
  • Die Wiederverwendung öffentlich bekannter Infrastrukturen und TTPs durch die Gruppe ist wahrscheinlich ein Anzeichen dafür, dass die Gruppe operativen Erfolg hat, und unterstreicht einen pragmatischen Ansatz hinsichtlich der operativen Sicherheit, wobei RedDelta gewillt ist, weiterhin öffentlich bekannte Infrastrukturen zu verwenden, solange der Zugriff aufrechterhalten wird.

Hintergrund

Am 28. Juli 2020 veröffentlichte die Insikt Group eine Studie, aus der hervorgeht, dass der Vatikan und die katholische Diözese Hongkong zu mehreren mit der katholischen Kirche verbundenen Organisationen gehörten, die im Visier der mutmaßlich vom chinesischen Staat gesponserten Bedrohungsaktivitätsgruppe RedDelta standen. Diese Reihe mutmaßlicher Netzwerkeinbrüche zielte auch auf die Hong Kong Study Mission to China und das Päpstliche Institut für Außenmissionen (PIME) in Italien ab. Nach Einschätzung der Insikt Group sind die gezielten Angriffe auf mit der katholischen Kirche verbundene Organisationen wahrscheinlich ein Hinweis auf die Ziele der Kommunistischen Partei Chinas (KPCh), die darin besteht, die Kontrolle über die katholische „Untergrundkirche“ zu festigen, die „ Religionen in China zu sinisieren“ und den wahrgenommenen Einfluss des Vatikans innerhalb der katholischen Gemeinschaft Chinas zu verringern.

Zusätzlich zu den Angriffen auf Einrichtungen mit Verbindungen zur katholischen Kirche identifizierte die Insikt Group auch Netzwerkeinbrüche, die sich auf Strafverfolgungs- und Regierungsbehörden in Indien, eine Regierungsorganisation in Indonesien und andere nicht identifizierte Ziele in Myanmar, Hongkong und Australien auswirkten. Bei dieser Aktivität verwendete die Gruppe mehrere Malware-Varianten, darunter eine angepasste PlugX-Variante namens „RedDelta PlugX“, Cobalt Strike Beacon und Poison Ivy.

Bedrohungsanalyse

RedDelta bereinigt nach der Veröffentlichung

Nach der Veröffentlichung des ursprünglichen RedDelta-Berichts am 28. Juli 2020 ergriff die Gruppe eine Reihe von Ausweichmaßnahmen im Zusammenhang mit der bei den Einbrüchen verwendeten Infrastruktur, darunter die Änderung der IP-Auflösungen in mehreren der identifizierten Befehls- und Kontrolldomänen (C2). Beispielsweise wurde die Auflösung aller im Cluster „Poison Ivy/Cobalt Strike“ identifizierten C2-Subdomänen weniger als einen Tag nach der Veröffentlichung der RedDelta-Forschung gestoppt.

reddelta-cyber-bedrohung-operationen-2-1.png.jpg Tabelle 1: „Poison Ivy Cluster“-Domänen, deren Auflösung am Tag nach der Veröffentlichung des Berichts eingestellt wurde.

Darüber hinaus die Hosting-IP für die PlugX C2-Domäne cabsecnow[.]com wurde am 3. August 2020 von 167.88.180[.]32 auf 103.85.24[.]149 umgestellt. Dies traf jedoch nicht auf die gesamte identifizierte Infrastruktur zu. Viele der PlugX C2-Server blieben aktiv und wurden bei mehreren der im ersten Bericht festgestellten Einbrüche weiterhin verwendet. Dieser Kontrast unterstreicht die Bereitschaft der Gruppe, öffentlich bekannte Infrastruktur weiterhin zu nutzen, solange der Zugriff gewährleistet bleibt.

RedDelta nimmt den Vatikan und die katholische Diözese Hongkong erneut ins Visier

reddelta-cyber-bedrohungsoperationen-3-1.png Abbildung 1: Netzwerkverkehr zwischen der katholischen Diözese Hongkong und der RedDelta C2-Infrastruktur.

Bei der Analyse der Kommunikation zwischen den Zielorganisationen und der RedDelta C2-Infrastruktur mithilfe der Recorded Future Network Traffic Analysis stellten wir fest, dass die Netzwerkkommunikation zwischen katholischen Kirchenorganisationen unmittelbar nach der Veröffentlichung des Berichts zum Erliegen kam. Dieser Angriff war jedoch nur von kurzer Dauer, denn zehn Tage später nahm die Gruppe erneut den Mailserver der katholischen Diözese Hongkong ins Visier und 14 Tage später einen Mailserver des Vatikans. Dies ist ein Hinweis darauf, dass RedDelta beharrlich darauf besteht, zum Sammeln von Informationen Zugang zu diesen Umgebungen zu erhalten, zusätzlich zu der bereits erwähnten hohen Risikotoleranz der Gruppe.

Am 10. September 2020 gab das chinesische Außenministerium bekannt, dass das Abkommen zwischen der Volksrepublik China und dem Heiligen Stuhl aus dem Jahr 2018 „erfolgreich umgesetzt“ worden sei. Die Ankündigung einer Verlängerung des Abkommens werde in den kommenden Wochen erwartet . Diese Ankündigung erfolgte bereits eine Woche zuvor, nachdem die Aktivitäten von RedDelta gegen das vatikanische Netzwerk abgeflaut waren. Zudem folgte sie einem Besuch des chinesischen Außenministers Wang Yi in Rom Ende August, was darauf schließen lässt, dass die Geheimdienstaufgabe der Gruppe möglicherweise erfüllt wurde oder nicht mehr erforderlich ist. Ob es der Gruppe gelungen ist, sich wieder Zugang zum vatikanischen Netzwerk zu verschaffen, ist seit unserem letzten Bericht unklar. Diese Versuche und das darauf folgende Auftauchen neuer Lockdokumente mit dem Thema der katholischen Kirche bei RedDelta unterstreichen jedoch erneut, dass die KPCh bestrebt ist, eine stärkere Kontrolle über die katholische Gemeinschaft in China zu erlangen.

reddelta-cyber-bedrohungsoperationen-12-1.png Abbildung 2: Zeitleiste der jüngsten RedDelta-Aktivität. (Quelle: Aufgezeichnete Zukunft)

Weitere Zielsetzungen im Einklang mit chinesischen strategischen Interessen

RedDelta nimmt weiterhin Organisationen ins Visier, die mit den strategischen und geopolitischen Interessen Chinas in Einklang stehen. In früheren Berichten haben wir eine Reihe von Netzwerkeinbrüchen und Phishing-Versuchen, die auf mehrere katholische Kirchenorganisationen abzielten, mit der Gruppe in Verbindung gebracht. Diese fanden im Vorfeld der Gespräche zwischen den beiden Staaten im Zuge der erwarteten Erneuerung des Abkommens zwischen China und dem Vatikan aus dem Jahr 2018 statt. In der Zwischenzeit hat die Gruppe zusätzliche Köder mit Verweisen auf Katholiken in China, die Beziehungen zwischen Tibet und Ladakh sowie den Sicherheitsrat der Generalversammlung der Vereinten Nationen verwendet, um zu versuchen, PlugX auf Zielcomputer zu laden.

reddelta-cyber-bedrohungsoperationen-4-1.png Abbildung 3: PlugX-Lockvogeldokument „Geschichte der Beziehungen zwischen Tibet und Ladakh und ihre modernen Auswirkungen“.

Die erste Probe wird auf ähnliche Weise geladen wie die im vorherigen RedDelta-Bericht beschriebenen Proben. In der ersten Stufe des seitlichen Ladens der DLL wird erneut eine legitime ausführbare Microsoft Word-Datei verwendet, um einen DLL-Loader der ersten Stufe seitlich zu laden, wobei beide Dateien zunächst in einer ZIP-Datei gespeichert werden. In diesem Fall war die ZIP-Datei offenbar auf Google Drive gespeichert und der Benutzer wurde wahrscheinlich dazu aufgefordert, sie über einen Spearphishing-Link herunterzuladen. Nach der ersten Phase des seitlichen Ladens der DLL wird eine verschlüsselte PlugX DAT-Nutzlast von http://103.85.24[.]161/8.dat abgerufen.

reddelta-cyber-bedrohung-operationen-5-1.jpg Tabelle 2: Inhalt von „Geschichte der Beziehungen zwischen Tibet und Ladakh und ihre modernen Auswirkungen.zip“ für das seitliche Laden der DLL der ersten Stufe.

Anders als zuvor identifizierte RedDelta PlugX-Samples verwendet dieses für die zweite Phase des seitlichen Ladens der DLL eine legitime ausführbare Avast-Proxy-Datei und nicht die legitime ausführbare Adobe-Datei, die in zuvor analysierten Samples verwendet wurde. Beim Laden in den Speicher verwendet die PlugX-Nutzlast www.systeminfor[.]com für Befehle und Kontrolle – dieselbe Domäne, die in allen PlugX-Beispielen mit katholischer Kirche-Thema verwendet wird. Bei allen vier neu analysierten Beispielen weisen die DLL-Loader-Dateien der ersten Stufe einen identischen, ungewöhnlichen Import-Hash und Rich Header mit den zuvor beobachteten RedDelta PlugX-DLLs der ersten Stufe auf. Die geladene PlugX-Nutzlast entspricht auch der zuvor beschriebenen benutzerdefinierten RedDelta PlugX-Variante und verwendet RC4-Verschlüsselung für C2-Kommunikation mit derselben fest codierten RC4-Passphrase und Konfigurationsblock-Decodierungsfunktion.

In diesem Beispiel wird dem Benutzer ein Scheindokument mit dem Titel „Geschichte der Beziehungen zwischen Tibet und Ladakh und ihre modernen Auswirkungen“ angezeigt, wie in Abbildung 3 dargestellt. Obwohl die konkrete Zielgruppe dieser Stichprobe unklar ist, ist die Bezugnahme auf Ladakh besonders interessant, da sich die Spannungen an der Grenze zwischen China und Indien in dieser Region in jüngster Zeit verschärft haben und Tibet weiterhin häufig Ziel staatlich geförderter Cyber-Spionage aus China ist. Ähnlich wie bei mehreren anderen RedDelta-Beispielen stammt der Inhalt des Lockvogeldokuments aus legitimen Quellen, in diesem Fall aus einem Artikel der asiatisch-pazifischen Nachrichtenseite The Diplomat vom Juli 2020.

reddelta-cyber-bedrohungsoperationen-6-1.png Abbildung 4: „Vorabversion des Berichts des Generalsekretärs von 2020 über Friedenskonsolidierung und Friedenserhaltung“ – PlugX-Lockvogel-Dokumentenausschnitt.

Das zweite PlugX-Beispiel wird auf fast identische Weise wie das Tibet-Ladakh-Beispiel oben geladen. In diesem Fall wird die verschlüsselte PlugX-DAT-Nutzlast von http://103.85.24[.]158/eeas.dat abgerufen. Das Beispiel verwendet dieselbe für DLL-Sideloading anfällige ausführbare Datei von Adobe, die auch in einem der PlugX-Beispiele der katholischen Kirche zu sehen ist, und nutzt für das Sideloading der zweiten Stufe die ausführbare Datei Avast Proxy, die im obigen Tibet-Ladakh-Beispiel zu sehen ist. In diesem Fall war die ZIP-Datei offenbar auf Dropbox gespeichert und wurde vermutlich ebenfalls durch Spearphishing übermittelt, das einen bösartigen Link enthielt. Dieses PlugX-Beispiel verwendet wieder www.systeminfor[.]com für Befehle und Kontrolle.

reddelta-cyber-bedrohung-operationen-7-1.jpg Tabelle 3: Inhalt der „Vorabversion des Berichts des Generalsekretärs von 2020 über Friedenskonsolidierung und Friedenserhaltung.zip“ für das seitliche Laden der DLL der ersten Phase.

Das in dieser Probe verwendete 18-seitige Lockvogeldokument (siehe Abbildung 4) gibt vor, eine erweiterte, unbearbeitete Kopie des „Berichts des Generalsekretärs über Friedenskonsolidierung und Friedenserhaltung 2020“ zu sein, der vom Generalsekretär der Generalversammlung der Vereinten Nationen verfasst wurde. Der legitime Bericht stammt jedoch höchstwahrscheinlich von der Website der Vereinten Nationen und wurde manipuliert, indem ihm die Klassifizierung „Advanced Unedited Edition“ hinzugefügt und das Datum geändert wurde. Der legitime Bericht wurde am 4. August 2020 vor der 75. Sitzung der Generalversammlung veröffentlicht, die im Oktober stattfinden soll. Auf der Website der UNO heißt es , dass das Papier den wichtigsten Beitrag zur Überprüfung der UN-Friedensaufbauarchitektur im Jahr 2020 darstellen wird und dass der Bericht von einer Kerngruppe von UN-Einrichtungen erstellt wird.

Während das spezifische Ziel dieser speziellen Probe unklar ist, wurde die Verwendung öffentlicher Dokumente zu aktuellen geopolitischen Themen als Lockvogel bereits zuvor in mehreren RedDelta-Ködern beobachtet. Darüber hinaus bezieht sich der in diesem Beispiel angezeigte DAT-Nutzlastdateiname „eeas.dat“ möglicherweise auf den Europäischen Auswärtigen Dienst (EAD), den diplomatischen Dienst und das kombinierte Außen- und Verteidigungsministerium der Europäischen Union. Mustang Panda, eine Bedrohungsaktivitätsgruppe mit engen Überschneidungen, hat bei historischen Aktivitäten bereits zuvor einen Köder mit dem Thema UN-Sicherheitsrat eingesetzt .

reddelta-cyber-bedrohungsoperationen-8-1.png Abbildung 5: „Wie sich Katholiken an die Veränderungen in China anpassen: Eine missionswissenschaftliche Perspektive“ (links) und „Katholische Bischöfe fordern dringende Friedensgespräche in Kamerun“ (rechts) – Ausschnitte aus PlugX-Lockvogeldokumenten.

Die letzten beiden RedDelta PlugX-Beispiele ähneln wieder stark den anderen und beziehen beide die DAT-Nutzlast von http://103.85.24[.]158/hk097.dat. bevor Sie quochoice[.]com letztendlich nutzen für Befehl und Kontrolle. Diese Domain wird derzeit auf der 2EZ-Netzwerk-IP 167.88.177[.]179 gehostet. wobei die gesamte neu identifizierte Infrastruktur einem zuvor festgestellten Trend bei bevorzugten Hosting-Anbietern folgt. Eines der Beispiele mit dem Titel „Wie sich Katholiken an die Veränderungen in China anpassen: Eine missiologische Perspektive“ stammt aus den Schriften eines chinesischen katholischen Gelehrten und konzentriert sich auf das Christentum in China, während das andere einem Artikel der Independent Catholic News vom Februar 2020 entnommen ist. Dies unterstreicht erneut die Aufgabe von RedDelta, Informationen über Organisationen und Einzelpersonen zu sammeln, die mit der katholischen Kirche in Verbindung stehen.

reddelta-cyber-bedrohung-operationen-9-1.jpg Tabelle 4: Inhalt von „Wie sich Katholiken an Veränderungen in China anpassen – eine missiologische Perspektive.zip“ für das seitliche Laden von DLLs im ersten Schritt.

reddelta-cyber-bedrohungsoperationen-10-1.jpg Tabelle 5: Inhalt von „Katholische Bischöfe fordern dringende Friedensgespräche in Kamerun.zip“ für das seitliche Laden von DLLs im ersten Schritt.

RedDelta in Myanmar und Hongkong

In unserer vorherigen Berichterstattung über RedDelta konnten wir eine große Bandbreite an Netzwerkkommunikation zwischen den den Telekommunikationsanbietern in Myanmar und Hongkong zugewiesenen IP-Adressen und der RedDelta C2-Infrastruktur beobachten. Sowohl Hongkong als auch Myanmar waren historische Ziele der sich eng überschneidenden Gruppe der Mustang-Pandas (1,2). In der Zwischenzeit haben wir PlugX (C2 103.85.24[.]149) identifiziert. Netzwerkeinbrüche, die wahrscheinlich auf Regierungssysteme in Myanmar abzielten und die wir RedDelta zuschreiben. Dazu gehörte ein VPN-Anmeldeportal für ein elektronisches Dokumentenverwaltungssystem der Regierung von Myanmar. Wir gehen davon aus, dass RedDelta diese Aktivität vom 4. August (und möglicherweise früher) bis mindestens zum 2. September 2020 durchgeführt hat. Der Zugriff auf diese Systeme wäre wahrscheinlich eine wertvolle Informationsquelle für den Zugriff auf die im System gespeicherten elektronischen Dokumente.

Zusätzlich zu diesem neuen Opfer in Myanmar identifizierten wir weitere PlugX (C2 85.209.43[.]21 Netzwerkeinbrüche zielten vermutlich auf zwei Universitäten in Hongkong. Diese IP-Adresse hostet derzeit die Domäne ipsoftwarelabs[.]com, Dies wurde bereits zuvor im Rahmen einer Berichterstattung über auf Hongkong abzielende Aktivitäten mithilfe einer älteren PlugX-Variante erwähnt. Obwohl Metadaten allein keinen Angriff bestätigen, sind wir der Ansicht, dass sowohl das hohe Volumen als auch die wiederholte Kommunikation von Hosts innerhalb der Zielorganisationen mit diesen C2s ausreichen, um auf einen wahrscheinlichen Einbruch hinzuweisen.

Gegenmaßnahmen

  • Konfigurieren Sie Ihre Intrusion Detection Systeme (IDS), Intrusion Prevention Systeme (IPS) oder andere vorhandene Netzwerkabwehrmechanismen so, dass sie bei den in Anhang A aufgeführten externen IP-Adressen und Domänen eine Warnung ausgeben und die Blockierung unzulässiger Verbindungsversuche in Erwägung ziehen.
  • Stellen Sie sicher, dass die Systemkonfiguration (einschließlich Zugriffskontrolle) für intern und extern zugängliche Systeme ordnungsgemäß ausgewertet wird und dass auf allen Systemen sichere Kennwörter verwendet werden.
  • Segmentieren Sie Ihr Netzwerk und sorgen Sie für besonderen Schutz vertraulicher Informationen, etwa durch eine mehrstufige Authentifizierung und einen stark eingeschränkten Zugriff und Speicherort auf Systemen, auf die nur über ein internes Netzwerk zugegriffen werden kann.
  • Deaktivieren Sie nach Möglichkeit die Basis- und Legacy-Authentifizierung, da Angreifer hierdurch die vorhandenen Sicherheitsmaßnahmen umgehen können.
  • Halten Sie sämtliche Software und Anwendungen auf dem neuesten Stand – insbesondere Betriebssysteme, Antivirensoftware und wichtige Systemdienstprogramme.
  • Filtern Sie E-Mail-Korrespondenz und überprüfen Sie Anhänge auf Malware.
  • Setzen Sie hostbasierte Kontrollen ein. Zu den besten Abwehrmaßnahmen und Warnsignalen zur Abwehr von Angriffen zählen clientbasierte Host-Protokollierungs- und Angriffserkennungsfunktionen.
  • Implementieren Sie grundlegende Bereitstellungen und Kontrollen zur Reaktion auf Vorfälle und zur Erkennung, wie Netzwerk-IDS, Netflow-Sammlung, Host-Protokollierung und Web-Proxy, neben der menschlichen Überwachung der Erkennungsquellen.

Ausblick

Die Wiederverwendung öffentlich gemeldeter Infrastrukturen und TTPs durch RedDelta verdeutlicht einen Kontrast in der Risikobereitschaft der vom chinesischen Staat gesponserten Bedrohungsaktivitätsgruppen. Während einige Gruppen trotz umfangreicher öffentlicher Berichterstattung weiterhin hochaktiv sind (wie etwa APT41 und RedDelta), ändern andere wie etwa APT3 als Reaktion auf öffentliche Berichterstattung ihr Verhalten drastisch oder reduzieren ihre Aktivität. In allen Fällen führt die glaubhafte Abstreitbarkeit von Computer Network Exploitation (CNE)-Operationen dazu, dass die VR China trotz umfangreicher historischer Beweise regelmäßig jede Beteiligung an derartigen Aktivitäten abstreitet (1,2). Dies gilt auch im Fall RedDelta.

Angesichts der anhaltenden RedDelta-Aktivität trotz umfangreicher öffentlicher Berichterstattung erwarten wir, dass die Gruppe mit geringfügigen Anpassungen der TTPs weiterhin mit hohem Betriebstempo operieren wird. In früheren Berichten haben wir darauf hingewiesen, dass die Gruppe gezielt Organisationen wie religiöse Organisationen und Nichtregierungsorganisationen (NGOs) ins Visier nimmt, denen es oft an der Fähigkeit oder dem Willen mangelt, ausreichend in Sicherheits- und Erkennungsmaßnahmen zu investieren. Dies dürfte die Bereitschaft der Gruppe, öffentlich bekannte Infrastrukturen und TTPs wiederzuverwenden, weiter verstärken.

Verwandt