adlı bir Çin devlet destekli tehdit faaliyet grubu KırmızıAlfa küresel insani yardım, düşünce kuruluşu ve devlet kuruluşlarına yönelik çok yıllı kitlesel kimlik bilgisi hırsızlığı kampanyasına atfedildi.
“Bu aktivitede, RedAlpha büyük olasılıkla e-posta hesaplarına ve hedeflenen kişi ve kuruluşların diğer çevrimiçi iletişimlerine erişmeye çalıştı,” Recorded Future ifşa yeni bir raporda.
Daha az bilinen bir tehdit aktörü olan RedAlpha, ilk belgelenmiş Citizen Lab tarafından Ocak 2018’de yayınlandı ve bir kısmı Hindistan’da olmak üzere Tibet topluluğuna yönelik siber casusluk ve gözetleme operasyonları yürütme geçmişine sahip. NjRAT arka kapı.
“kampanyalar […] hafif keşif, seçici hedefleme ve çeşitli kötü amaçlı araçları birleştirin,” Recorded Future kayıt edilmiş o zaman.
O zamandan beri, grup tarafından üstlenilen kötü niyetli faaliyetler, Uluslararası İnsan Hakları Federasyonu (FIDH), Uluslararası Af Örgütü, Mercator Çin Araştırmaları Enstitüsü (MERICS), Radio Free Asia (RFA) gibi meşru kuruluşları taklit eden 350 kadar alanın silahlandırılmasını içeriyor. ) ve Tayvan’daki Amerikan Enstitüsü (AIT), diğerleri arasında.
Raporda, düşmanın son üç yılda düşünce kuruluşlarını ve insani yardım kuruluşlarını tutarlı bir şekilde hedeflemesinin Çin hükümetinin stratejik çıkarlarıyla uyumlu olduğu belirtildi.
Yahoo!, Google ve Microsoft gibi meşru e-posta ve depolama hizmeti sağlayıcılarını da içeren kimliğine bürünülmüş etki alanları, daha sonra, kimlik bilgilerinin çalınmasını kolaylaştırmak için yakın kuruluşları ve bireyleri hedeflemek için kullanılır.
Saldırı zincirleri, kullanıcıları, hedeflenen kuruluşlar için e-posta oturum açma portallarını yansıtan sahte açılış sayfalarına yönlendirmek için kötü amaçlı bağlantılar yerleştiren PDF dosyaları içeren kimlik avı e-postalarıyla başlar.
Araştırmacılar, “Bu, diğer üçüncü tarafları hedef almak için bu kuruluşları taklit etmek yerine, bu kuruluşlarla doğrudan bağlantılı kişileri hedef almayı amaçladıkları anlamına geliyor” dedi.
Alternatif olarak, kimlik bilgisi avı etkinliğinde kullanılan etki alanlarının, bu belirli kuruluşlar tarafından kullanılan Zimbra gibi diğer e-posta yazılımlarını taklit etmenin yanı sıra Outlook gibi popüler e-posta sağlayıcıları için genel oturum açma sayfalarını barındırdığı bulunmuştur.
Kampanyanın evriminin bir başka işareti olarak, grup ayrıca Tayvan, Portekiz, Brezilya ve Vietnam’ın dışişleri bakanlıkları ile Hindistan’ın Ulusal Bilişim Merkezi ile ilişkili giriş sayfalarını taklit etti (NIC), Hindistan hükümeti için BT altyapısını ve hizmetlerini yönetir.
RedAlpha kümesi ayrıca Jiangsu Cimer Bilgi Güvenliği Teknolojisi Ltd. ajanslar ülkede.
“[The targeting of think tanks, civil society organizations, and Taiwanese government and political entities]olası Çin merkezli operatörlerin tanımlanmasıyla birleştiğinde, RedAlpha etkinliğine olası bir Çin devleti bağlantısı olduğunu gösteriyor.”