Um grupo de ameaça patrocinado pelo estado ligado à China está envolvido em um ciberataque de cinco meses contra o Vaticano e outras organizações relacionadas à Igreja Católica. Os ataques vieram na forma de e-mails de spear phishing combinados com a ferramenta de acesso remoto PlugX (RAT) como carga útil.
Pesquisadores com Recorded Future observaram o grupo, RedDelta, visando os servidores de correio de organizações católicas desde o início de maio de 2020. Isso é antes da renovação prevista para setembro de 2020 do acordo provisório histórico de 2018 China-Vaticano, chamado de acordo China-Santa Sé. As intrusões na rede ocorreram até uma semana antes do Ministério das Relações Exteriores da China anunciar que o acordo havia sido “implementado com sucesso” na semana passada, em 10 de setembro, dizendo que uma renovação do acordo deve ser anunciada nas próximas semanas – momento em que o a atividade de ameaça observada morreu, disseram os pesquisadores.
Os pesquisadores acreditam que essa segmentação do Vaticano e de outras entidades relacionadas com a Igreja Católica provavelmente ofereceria à RedDelta uma visão sobre a posição de negociação da Santa Sé antes da renovação do acordo em setembro de 2020.
“RedDelta permaneceu em grande parte imperturbável pela extensa reportagem pública sobre seu direcionamento ao Vaticano e outras organizações católicas”, de acordo com pesquisadores do Insikt Group da Recorded Future em um relatório divulgado na terça-feira . “Apesar de tomar medidas básicas de segurança operacional por meio da alteração do status de resolução dos domínios de comando e controle (C2) imediatamente após este relatório, as táticas, técnicas e procedimentos (TTPs) do grupo permaneceram consistentes.”
A RedDelta também expandiu sua vitimologia de suas campanhas, como visto em novos ataques de spear phishing usando documentos-chamariz com o tema catolicismo, relações Tibete-Ladakh e o Conselho de Segurança da Assembleia Geral das Nações Unidas contra outras instituições católicas; bem como atividade de intrusão de rede adicional visando sistemas governamentais de Mianmar e duas universidades de Hong Kong.
A partir do início de maio de 2020, os pesquisadores observaram a RedDelta tentando várias intrusões na rede que visavam o Vaticano, bem como outras entidades como a Missão de Estudo de Hong Kong à China e o Pontifício Instituto para Missões Estrangeiras (PIME), Itália.
Anteriormente, os pesquisadores em um relatório de julho lançaram luz sobre o ataque bem-sucedido do grupo de ameaça ao Vaticano que distribuiu o PlugX RAT. O PlugX já foi usado anteriormente em ataques direcionados a instituições governamentais e permite que usuários remotos roubem dados ou assumam o controle dos sistemas afetados sem permissão ou autorização. Ele pode copiar, mover, renomear, executar e excluir arquivos; registro de pressionamentos de tecla; impressão digital do sistema infectado; e mais.
Cronologia dos ataques cibernéticos contra o Vaticano. Crédito: Futuro Recodificado
Os pesquisadores acreditam que o ataque cibernético foi inicialmente lançado por meio de e-mails de spear phishing com um documento de isca. De maio a pelo menos julho, eles utilizaram o controlador RAT e técnicas de análise de tráfego de rede para identificar vários servidores PlugX C2 se comunicando com os hosts do Vaticano. Os pesquisadores também identificaram a infraestrutura C2 de Poison Ivy e Cobalt Strike Beacon se comunicando com os anfitriões do Vaticano durante esse período.
Depois que a Recoded Future publicou seus detalhes dessa campanha no relatório de julho, eles notaram que o grupo RedDelta tomou uma série de etapas evasivas relacionadas à infraestrutura para evitar a detecção – principalmente alterando as resoluções de IP em vários de seus domínios C2.
“Ao analisar as comunicações entre as organizações-alvo e a infraestrutura RedDelta C2 usando a Análise de tráfego de rede do futuro registrado, identificamos que as comunicações de rede entre as organizações da Igreja Católica cessaram imediatamente após a publicação do relatório”, disseram eles. “No entanto, isso durou pouco e, em 10 dias, o grupo voltou a atacar o servidor de correio da Diocese Católica de Hong Kong e, em 14 dias, um servidor de correio do Vaticano. Isso é um indicativo da persistência da RedDelta em manter o acesso a esses ambientes para coleta de inteligência, além da já mencionada alta tolerância ao risco do grupo ”.
Desde então, não está claro se o grupo foi capaz de recuperar com sucesso o acesso à rede do Vaticano – no entanto, as tentativas de fazê-lo, bem como o surgimento de uma nova isca com o tema da Igreja Católica RedDelta, destacam um foco abrangente da China O Partido Comunista (PCC) busca maior supervisão da comunidade católica na China, eles disseram.
Os pesquisadores disseram que a RedDelta também tem como alvo entidades católicas, bem como novas intrusões de rede que afetam a aplicação da lei e entidades governamentais na Índia, uma organização governamental na Indonésia e outros alvos não identificados em Mianmar, Hong Kong e Austrália.
O número maior de vítimas foi visto no grupo de ameaça trocando suas iscas usadas em campanhas. Anteriormente, o grupo de ameaça centralizou-se em documentos de isca com foco católico, incluindo um que pretendia ser uma carta oficial do Vaticano endereçada ao atual chefe da Missão de Estudos de Hong Kong à China e um falsificando um boletim de notícias da União de Notícias Católicas da Ásia sobre a iminente introdução da nova lei de segurança nacional de Hong Kong.
Documento de isca usado no ataque. Crédito: Futuro Registrado
Mais recentemente, o grupo foi identificado usando iscas adicionais referenciando católicos dentro da China, relações Tibete-Ladakh e o Conselho de Segurança da Assembléia Geral das Nações Unidas para tentar carregar o PlugX em máquinas-alvo. Por exemplo, um exemplo de isca descoberta, um documento chamariz chamado “História das Relações Tibete-Ladakh e Suas Implicações Modernas”, usa um executável Microsoft Word legítimo para carregar um carregador DLL de primeiro estágio, com dois arquivos inicialmente armazenados dentro de um zip Arquivo. Após a primeira fase de carregamento lateral de DLL, uma carga útil PlugX DAT criptografada é descartada.
Os TTPs da RedDelta “continuam operando de acordo com as prioridades estratégicas chinesas”, disseram os pesquisadores. Por exemplo, a continuação do grupo como alvo do Vaticano, seu uso de documentos-chamariz centrados em questões atuais geopolíticas relevantes para a República Popular da China (RPC) e seus objetivos finais de espionagem cibernética refletem grupos de ameaças ligados à China, disseram os pesquisadores.
“A reutilização do grupo de infraestrutura relatada publicamente e TTPs é provavelmente um indicativo de um grupo experimentando sucesso operacional e destaca uma abordagem pragmática para segurança operacional, com a RedDelta disposta a continuar a usar infraestrutura publicamente conhecida enquanto o acesso for mantido”, disseram os pesquisadores.
Fonte: https://threatpost.com/hackers-continue-cyberattacks-against-vatican-catholic-orgs/159306
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
