Монгол, Тайвань, Мьянмар, Вьетнам, Камбож зэрэг улсууд 2023 оны 7-р сараас 2024 оны 12-р сарын хооронд PlugX арын хаалганы програмын тохируулсан хувилбарыг ажиллуулахаар Хятад-nexus RedDelta аюул заналхийлэгчийн бай болж байсан байна.
"Бүлэг нь 2024 оны Тайваний ерөнхийлөгчийн сонгуульд нэр дэвшигч Терри Гоу, Вьетнамын үндэсний баяр, Монгол дахь үерийн аюулаас хамгаалах, Зүүн Өмнөд Азийн орнуудын холбооны (АСЕАН) уулзалт зэрэг уулзалтын урилга зэрэг сэдвүүдтэй төөрөгдүүлсэн өгөөш баримт бичгүүдийг ашигласан" гэж Recorded Future-ийн Insikt групп шинэ шинжилгээ судалдаандаа мэдэгдэв.
Энэхүү заналхийлсэн этгээд нь 2024 оны наймдугаар сард Монгол Улсын Батлан хамгаалах яам, 2024 оны арваннэгдүгээр сард Вьетнамын Коммунист намд халдсан гэж үзэж байгаа. Мөн 2024 оны 9-р сараас 12-р сарын хооронд Малайз, Япон, АНУ, Этиоп, Бразил, Австрали, Энэтхэг зэрэг олон улсын хохирогчдыг онилсон гэж үздэг.
RedDelta нь ойролцоогоор 2012 оноос хойш идэвхтэй үйл ажиллагаа явуулж байгаа бөгөөд Хятадаас төрийн ивээн тэтгэдаг цахим заналхийллийн этгээд юм. Түүнчлэн кибер аюулгүй байдлын нийгэмлэг нь үүнийг BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Mustang Panda (болон түүнтэй нягт холбоотой Vertigo Panda), Red Lich, Stately Taurus, TA416, Twill Typhoon гэх мэт нэрээр хянадаг байна.
Хакерын баг нь халдварын сүлжээгээ тасралтгүй сайжруулдгаараа алдартай бөгөөд сүүлийн үед Зүүн Өмнөд Азийн төрийн байгууллагуудад чиглэсэн тагнуулын ажиллагааны нэг хэсэг болгон Visual Studio Code-ийн хонгилыг зэвсэглэсэн халдлага нь Хятадтай холбоотой тагнуулын үйл ажиллагаа болох Operation Digital Eye, MirrorFace зэрэг янз бүрийн бүлэглэлүүдийн энэ тактикийг улам бүр хэрэгжүүлж байна.
Recorded Future-ийн баримтжуулсан халдлагын багц нь Windows Shortcut (LNK), Windows Installer (MSI) болон Microsoft Management Console (MSC) файлуудыг халдварын гинжин хэлхээг эхлүүлэх эхний үе шатны бүрэлдэхүүн хэсэг болгон ашиглахыг оролддог бөгөөд эцэст нь DLL-ийн зэрэг ачаалах арга техникийг ашиглан PlugX-ийг ашиглахад хүргэдэг байна.
Өнгөрсөн оны сүүлээр зохион байгуулсан зарим бүлэг ажил нь Microsoft Azure дээр байршуулсан HTML файлуудын холбоосыг агуулсан хуурамч фишинг имэйлд тулгуурласан бөгөөд энэ нь MSC ачааллыг татаж авах эхлэлийг тавьсан бөгөөд энэ нь эргээд PlugX-г програмыг ачаалах үүрэгтэй MSI суулгацаа устгадаг байна. DLL нь халдалдат өртөх боломжтой халдалдад өртөмтгий үйлдэлийн системийн хууль ёсны ажилладаг файл юм.
Тактикаа хөгжүүлж, аюулгүй байдлын хамгаалалтаас түрүүлж байгаагийн дараагийн шинж тэмдэг болгон RedDelta нь Cloudflare-ын контент түгээх сүлжээг болох (CDN) ашиглан халдагчийн удирддаг C2 серверүүд рүү команд-удирдлагын (C2) урсгалыг илгээсэн нь ажиглагдсан. Энэ нь хууль ёсны CDN урсгалтай холилдох, илрүүлэх хүчин чармайлтыг хүндрүүлэх зорилгоор хийгддэг байна.
Recorded Future хэлж байгаагаар RedDelta-ын C2 сервертэй холбогдож байгаа 10 захиргааны серверийг тодорхойлсон гэж мэдэгдэв. Бүх 10 IP хаяг нь Хятадын Юником Хэнань мужид бүртгэлтэй байгаа юм.
"RedDelta-гийн үйл ажиллагаа нь Хятадын стратегийн тэргүүлэх чиглэлтэй нийцэж, Зүүн Өмнөд Ази, Монгол, Европ дахь засгийн газар, дипломат байгууллагуудад анхаарлаа хандуулдаг" гэж тус компани давхар мэдэгдэв.
"Бүлэг 2023, 2024 онд Ази руу чиглэсэн зорилтот бүлэглэл нь 2022 онд Европын байгууллагуудыг чиглүүлсний дараа тус бүлэглэлийн түүхэн анхаарлын төвд эргэн орж байгааг харуулж байна. RedDelta нь Монгол, Тайванийг онилсон нь тус бүлэглэлийн өмнө нь Хятадын Коммунист Намын эрх мэдэлд заналхийлсэн бүлэглэлүүдийг онилсонтой нийцэж байна."
Саяхан АНУ-ын Сангийн яамыг онилсон кибер халдлагыг Майкрософт компанийн аюулгүй байдлын дөрвөн алдааг Zero-Day ашигласантай холбон тайлбарлаж байсан Silk Typhoon (Гафниум гэх) гэгддэг хакерын бүлэглэл үйлдсэн гэж Bloomberg-ээс мэдээлсэнтэй холбогдуулан энэхүү бүтээн байгуулалт өрнөж байна.
news source: https://thehackernews.com
