APT32

APT32 ، المعروف أيضًا باسم OceanLotus Group ، ليس جديدًا في سيناريو التهديد. بدأ باحثون أمنيون في الإبلاغ عن هجماتها منذ عام 2014. وكانت الأهداف الرئيسية لهجمات APT32 هي الكيانات الحكومية في مختلف البلدان والصحفيين والصناعات المملوكة للقطاع الخاص والأشخاص المعارضين للسياسة الرسمية. تم الإبلاغ عن هجمات APT32 في كمبوديا والفلبين وفيتنام ولاوس ، مما يشير إلى مجموعة APT32 المتمركزة في فيتنام. لتجنب الاكتشاف ، يشتمل هجوم APT32 على تعليمات برمجية غير مجدية بحيث يتم خداع برامج الأمان. لتبادل المعلومات مع خادم الأوامر والتحكم ، يستخدم APT32 المنفذ 80. يمكن لهجوم APT32 جمع بيانات تسجيل الدخول باستخدام GetPassword_x64 و Mimikatz . يقوم أيضًا بتنفيذ ملفات تنفيذية أصلية من McAfee و Symantec لتحميل DLL تالف ويمكنه جمع قائمة بالملفات والأدلة الموجودة على الكمبيوتر المصاب. المهام والحيل التي تستخدمها هجمات APT32 كثيرة جدًا لدرجة أنه ليس من السهل تعدادها.

للوصول إلى جهاز كمبيوتر ، يستخدم هجوم APT32 الهندسة الاجتماعية ورسائل البريد الإلكتروني المخادعة لخداع ضحاياه لتمكين وحدات الماكرو من ملفات ActiveMime. إذا وافق الضحايا ، فإن الملف الذي تم تنزيله سينقل العديد من الملفات التالفة من الخوادم البعيدة إلى الجهاز المصاب. يمكن لهجوم APT32 أيضًا مراقبة الرسائل ورسائل البريد الإلكتروني ليكون على دراية بمن سقط في حيله. من الصعب للغاية اكتشاف هجمات APT32 لأنها تستخدم أساليب مضللة لخلط أنشطتها مع أنشطة الضحايا. تعد الأساليب الدفاعية الضعيفة التي تستخدمها العديد من الشركات الحكومية والخاصة لحماية أجهزة الكمبيوتر والبيانات بمثابة لوحة كاملة للمجرمين مثل أولئك الذين يقفون وراء مجموعة APT32 حيث يمكنهم غزو هذه الأجهزة بسهولة وجمع البيانات الأساسية والقيام بكل ما يريدون به.