Um grupo de ameaça patrocinado pelo estado ligado à China está envolvido em um ciberataque de cinco meses contra o Vaticano e outras organizações relacionadas à Igreja Católica. Os ataques vieram na forma de e-mails de spear phishing combinados com a ferramenta de acesso remoto PlugX (RAT) como carga útil.
Pesquisadores com Recorded Future observaram o grupo, RedDelta, visando os servidores de correio de organizações católicas desde o início de maio de 2020. Isso é antes da renovação prevista para setembro de 2020 do acordo provisório histórico de 2018 China-Vaticano, chamado de acordo China-Santa Sé. As intrusões na rede ocorreram até uma semana antes do Ministério das Relações Exteriores da China anunciar que o acordo havia sido “implementado com sucesso” na semana passada, em 10 de setembro, dizendo que uma renovação do acordo deve ser anunciada nas próximas semanas – momento em que o a atividade de ameaça observada morreu, disseram os pesquisadores.
Os pesquisadores acreditam que essa segmentação do Vaticano e de outras entidades relacionadas com a Igreja Católica provavelmente ofereceria à RedDelta uma visão sobre a posição de negociação da Santa Sé antes da renovação do acordo em setembro de 2020.
“RedDelta permaneceu em grande parte imperturbável pela extensa reportagem pública sobre seu direcionamento ao Vaticano e outras organizações católicas”, de acordo com pesquisadores do Insikt Group da Recorded Future em um relatório divulgado na terça-feira . “Apesar de tomar medidas básicas de segurança operacional por meio da alteração do status de resolução dos domínios de comando e controle (C2) imediatamente após este relatório, as táticas, técnicas e procedimentos (TTPs) do grupo permaneceram consistentes.”
A RedDelta também expandiu sua vitimologia de suas campanhas, como visto em novos ataques de spear phishing usando documentos-chamariz com o tema catolicismo, relações Tibete-Ladakh e o Conselho de Segurança da Assembleia Geral das Nações Unidas contra outras instituições católicas; bem como atividade de intrusão de rede adicional visando sistemas governamentais de Mianmar e duas universidades de Hong Kong.
A partir do início de maio de 2020, os pesquisadores observaram a RedDelta tentando várias intrusões na rede que visavam o Vaticano, bem como outras entidades como a Missão de Estudo de Hong Kong à China e o Pontifício Instituto para Missões Estrangeiras (PIME), Itália.
Anteriormente, os pesquisadores em um relatório de julho lançaram luz sobre o ataque bem-sucedido do grupo de ameaça ao Vaticano que distribuiu o PlugX RAT. O PlugX já foi usado anteriormente em ataques direcionados a instituições governamentais e permite que usuários remotos roubem dados ou assumam o controle dos sistemas afetados sem permissão ou autorização. Ele pode copiar, mover, renomear, executar e excluir arquivos; registro de pressionamentos de tecla; impressão digital do sistema infectado; e mais.
Cronologia dos ataques cibernéticos contra o Vaticano. Crédito: Futuro Recodificado
Os pesquisadores acreditam que o ataque cibernético foi inicialmente lançado por meio de e-mails de spear phishing com um documento de isca. De maio a pelo menos julho, eles utilizaram o controlador RAT e técnicas de análise de tráfego de rede para identificar vários servidores PlugX C2 se comunicando com os hosts do Vaticano. Os pesquisadores também identificaram a infraestrutura C2 de Poison Ivy e Cobalt Strike Beacon se comunicando com os anfitriões do Vaticano durante esse período.
Depois que a Recoded Future publicou seus detalhes dessa campanha no relatório de julho, eles notaram que o grupo RedDelta tomou uma série de etapas evasivas relacionadas à infraestrutura para evitar a detecção – principalmente alterando as resoluções de IP em vários de seus domínios C2.
“Ao analisar as comunicações entre as organizações-alvo e a infraestrutura RedDelta C2 usando a Análise de tráfego de rede do futuro registrado, identificamos que as comunicações de rede entre as organizações da Igreja Católica cessaram imediatamente após a publicação do relatório”, disseram eles. “No entanto, isso durou pouco e, em 10 dias, o grupo voltou a atacar o servidor de correio da Diocese Católica de Hong Kong e, em 14 dias, um servidor de correio do Vaticano. Isso é um indicativo da persistência da RedDelta em manter o acesso a esses ambientes para coleta de inteligência, além da já mencionada alta tolerância ao risco do grupo ”.
Desde então, não está claro se o grupo foi capaz de recuperar com sucesso o acesso à rede do Vaticano – no entanto, as tentativas de fazê-lo, bem como o surgimento de uma nova isca com o tema da Igreja Católica RedDelta, destacam um foco abrangente da China O Partido Comunista (PCC) busca maior supervisão da comunidade católica na China, eles disseram.
Os pesquisadores disseram que a RedDelta também tem como alvo entidades católicas, bem como novas intrusões de rede que afetam a aplicação da lei e entidades governamentais na Índia, uma organização governamental na Indonésia e outros alvos não identificados em Mianmar, Hong Kong e Austrália.
O número maior de vítimas foi visto no grupo de ameaça trocando suas iscas usadas em campanhas. Anteriormente, o grupo de ameaça centralizou-se em documentos de isca com foco católico, incluindo um que pretendia ser uma carta oficial do Vaticano endereçada ao atual chefe da Missão de Estudos de Hong Kong à China e um falsificando um boletim de notícias da União de Notícias Católicas da Ásia sobre a iminente introdução da nova lei de segurança nacional de Hong Kong.
Documento de isca usado no ataque. Crédito: Futuro Registrado
Mais recentemente, o grupo foi identificado usando iscas adicionais referenciando católicos dentro da China, relações Tibete-Ladakh e o Conselho de Segurança da Assembléia Geral das Nações Unidas para tentar carregar o PlugX em máquinas-alvo. Por exemplo, um exemplo de isca descoberta, um documento chamariz chamado “História das Relações Tibete-Ladakh e Suas Implicações Modernas”, usa um executável Microsoft Word legítimo para carregar um carregador DLL de primeiro estágio, com dois arquivos inicialmente armazenados dentro de um zip Arquivo. Após a primeira fase de carregamento lateral de DLL, uma carga útil PlugX DAT criptografada é descartada.
Os TTPs da RedDelta “continuam operando de acordo com as prioridades estratégicas chinesas”, disseram os pesquisadores. Por exemplo, a continuação do grupo como alvo do Vaticano, seu uso de documentos-chamariz centrados em questões atuais geopolíticas relevantes para a República Popular da China (RPC) e seus objetivos finais de espionagem cibernética refletem grupos de ameaças ligados à China, disseram os pesquisadores.
“A reutilização do grupo de infraestrutura relatada publicamente e TTPs é provavelmente um indicativo de um grupo experimentando sucesso operacional e destaca uma abordagem pragmática para segurança operacional, com a RedDelta disposta a continuar a usar infraestrutura publicamente conhecida enquanto o acesso for mantido”, disseram os pesquisadores.
Fonte: https://threatpost.com/hackers-continue-cyberattacks-against-vatican-catholic-orgs/159306
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
