2025-01-09 20:02 CET
En ny rapport från Recorded Future avslöjar att den kinesiska cybergrupperingen RedDelta har intensifierat sina attacker mot flera asiatiska länder, inklusive Taiwan, Mongoliet och Vietnam, under perioden juli 2023 till december 2024.
Utvecklade attackmetoder
RedDelta har förfinat sina metoder genom att använda olika typer av skadlig kod och tekniker för att undvika upptäckt. Gruppen har bland annat använt Windows-genvägsfiler (LNK) och Microsoft Management Console Snap-In Control-filer (MSC) som initiala attackvektorer. Dessa filer laddar ner och installerar skadliga Windows Installer-filer (MSI) som i sin tur distribuerar den anpassade bakdörren PlugX.
Mål och konsekvenser
Attackernas mål har varit statliga institutioner och politiska organisationer i de berörda länderna. Exempelvis komprometterades Mongoliets försvarsministerium i augusti 2024 och Vietnams kommunistparti i november samma år. Dessa intrång utgör allvarliga hot mot nationell säkerhet och politisk stabilitet i regionen.
Användning av legitima tjänster för att dölja aktivitet
För att undvika upptäckt har RedDelta använt Cloudflares innehållsleveransnätverk (CDN) för att maskera sin kommunikation med kommandoservrar. Denna metod gör det svårare för säkerhetsforskare att identifiera och spåra skadlig aktivitet, eftersom trafiken blandas med legitim användning av Cloudflares tjänster.
Säkerhetspolisens bedömning av kinesiska cyberhot
Säkerhetspolisen i Sverige har tidigare varnat för Kinas ökande cyberaktiviteter, inklusive industrispionage och försök att påverka politiska beslut. Kina bedriver underrättelseinhämtning mot svenska mål, främst genom cyberoperationer, men även via ambassaden och genom att värva agenter.
Rekommendationer för att motverka hotet
För att skydda sig mot dessa avancerade cyberhot rekommenderas organisationer att:
• Implementera robusta säkerhetsåtgärder: Använda uppdaterade antivirusprogram, brandväggar och intrångsdetekteringssystem.
• Utbilda personalen: Genomföra regelbundna utbildningar för att öka medvetenheten om phishing och andra sociala ingenjörsmetoder.
• Övervaka nätverkstrafik: Implementera verktyg för att upptäcka och analysera misstänkt aktivitet inom nätverket.
• Uppdatera system regelbundet: Säkerställa att alla system och programvaror är uppdaterade med de senaste säkerhetspatcharna.
Genom att följa dessa rekommendationer kan organisationer minska risken för att drabbas av liknande cyberattacker i framtiden.
Källor:
• https://go.recordedfuture.com/hubfs/reports/cta-cn-2025-0109.pdf
