Jan 10, 2025Ravie LakshmananCyber ​​Espionage / Cyber ​​Attack Mongolia, Taiwan, Myanmar, Vietnam, na Kambodia zimelengwa na mwigizaji tishio wa China-nexus RedDelta kuwasilisha toleo maalum la PlugX backdoor kati ya Julai 2023 na Desemba 2024. Kikundi kilitumia hati za kuvutia zenye mada karibu 2024 Mgombea urais wa Taiwani Terry Gou, Likizo ya Kitaifa ya Vietnam, ulinzi wa mafuriko nchini Mongolia, na mialiko ya mikutano, ikijumuisha mkutano wa Jumuiya ya Mataifa ya Kusini-Mashariki mwa Asia (ASEAN),” Recorded Future’s Insikt Group ilisema katika uchambuzi mpya. Inaaminika kuwa mwigizaji tishio alihatarisha Wizara ya Ulinzi ya Mongolia mnamo Agosti 2024 na Chama cha Kikomunisti cha Vietnam mnamo Novemba 2024. Pia inasemekana kuwalenga wahasiriwa kadhaa huko Malaysia, Japan, Amerika, Ethiopia, Brazil, Australia na India. kuanzia Septemba hadi Desemba 2024. RedDelta, inayofanya kazi tangu angalau 2012, ndiye mhusika aliyepewa jukumu la mwigizaji tishio anayefadhiliwa na serikali kutoka. China. Pia inafuatiliwa na jumuiya ya usalama wa mtandao kwa majina BASIN, Rais wa Bronze, Camaro Dragon, Earth Preta, HoneyMyte, Mustang Panda (na Vertigo Panda yake inayohusiana kwa karibu), Red Lich, Stately Taurus, TA416, na Twill Typhoon. Kikosi cha wadukuzi kinajulikana kwa kuendelea kuboresha msururu wake wa maambukizi, huku mashambulizi ya hivi majuzi yakifyatua vichuguu Visual Studio Code kama sehemu ya operesheni za kijasusi zinazolenga vyombo vya serikali Kusini-mashariki mwa Asia, mbinu ambayo inazidi kutumiwa na vikundi mbalimbali vya kijasusi vinavyohusishwa na China kama vile Operesheni Digital Eye. na MirrorFace. Seti ya kuingilia iliyorekodiwa na Recorded Future inahusisha matumizi ya Windows Shortcut (LNK), Windows Installer (MSI), na faili za Microsoft Management Console (MSC), ambazo huenda zilisambazwa kupitia wizi wa mkuki, kama sehemu ya hatua ya kwanza ya kuanzisha msururu wa maambukizi. , hatimaye kusababisha kupelekwa kwa PlugX kwa kutumia mbinu za upakiaji wa upande wa DLL. Kampeni zilizochaguliwa zilizoratibiwa mwishoni mwa mwaka jana pia zilitegemea barua pepe za ulaghai zilizo na kiungo cha faili za HTML zilizopangishwa kwenye Microsoft Azure kama sehemu ya kuanzia ili kuanzisha upakuaji wa upakiaji wa MSC, ambao, kwa upande wake, huangusha kisakinishi cha MSI kinachowajibika kupakia PlugX kwa kutumia inayoweza kutekelezwa ambayo inaweza kuathiriwa na utekaji nyara wa agizo la utaftaji la DLL. Katika ishara zaidi ya mabadiliko ya mbinu zake na kukaa mbele ya ulinzi wa usalama, RedDelta imezingatiwa kwa kutumia mtandao wa uwasilishaji wa maudhui wa Cloudflare (CDN) kutoa seva mbadala ya amri na udhibiti (C2) kwa seva za C2 zinazoendeshwa na washambulizi. Hii inafanywa ili kujaribu kuchanganya trafiki halali ya CDN na kutatiza juhudi za ugunduzi. Recorded Future ilisema ilitambua seva 10 za utawala zinazowasiliana na seva mbili zinazojulikana za RedDelta C2. Anwani zote 10 za IP zimesajiliwa kwa Mkoa wa Unicom Henan wa Uchina. “Shughuli za RedDelta zinalingana na vipaumbele vya kimkakati vya China, ikilenga serikali na mashirika ya kidiplomasia katika Asia ya Kusini-Mashariki, Mongolia na Ulaya,” kampuni hiyo ilisema. “Lengo la kikundi cha Asia mnamo 2023 na 2024 inawakilisha kurejea kwa lengo la kihistoria la kikundi baada ya kulenga mashirika ya Ulaya mnamo 2022. Ulengaji wa RedDelta kwa Mongolia na Taiwan unaendana na ulengaji wa zamani wa kikundi wa vikundi vinavyoonekana kama vitisho kwa nguvu ya Chama cha Kikomunisti cha Uchina. .” Haya yanajiri huku kukiwa na ripoti kutoka kwa Bloomberg kwamba shambulio la hivi majuzi la mtandaoni lililolenga Wizara ya Hazina ya Marekani lilifanywa na kikundi cha wadukuzi kinachojulikana kama Silk Typhoon (aka Hafnium), ambayo hapo awali ilihusishwa na unyonyaji wa siku sifuri wa dosari nne za usalama katika Microsoft. Seva ya Kubadilishana (iliyojulikana pia kama ProxyLogon) mapema 2021. Je, ulipata makala haya ya kuvutia? Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.