APT32

APT32, també reconegut com el grup OceanLotus, no és nou en l'escenari d'amenaça. Els seus atacs van començar a ser reportats per investigadors de seguretat des del 2014. Els principals objectius dels atacs de l'APT32 són entitats governamentals de diversos països, periodistes, indústries de propietat privada i persones en contra de la política oficial. Hi ha atacs APT32 reportats a Cambodja, Filipines, Vietnam i Laos, cosa que apunta que el Grup APT32 té la seu a Vietnam. Per evitar la detecció, l'atac APT32 inclou codi inútil perquè els programes de seguretat es deixin enganyar. Per intercanviar informació amb el seu servidor de comandament i control, APT32 utilitza el port 80. L'atac APT32 pot recollir dades d'inici de sessió mitjançant GetPassword_x64 i Mimikatz . També executa executables genuïns de McAfee i Symantec per carregar una DLL danyada i pot recopilar una llista dels fitxers i directoris de l'ordinador infectat. Les tasques i trucs que fan servir els atacs APT32 són tantes que no és fàcil enumerar-les.

Per obtenir accés a un ordinador, l'atac APT32 utilitza correus electrònics d'enginyeria social i spear phishing per enganyar les seves víctimes perquè habilitin macros dels fitxers ActiveMime. Si les víctimes hi estan d'acord, el fitxer descarregat transferirà diversos fitxers danyats des de servidors remots a la màquina infectada. L'atac APT32 també pot controlar els missatges i correus electrònics per saber qui ha caigut en els seus trucs. Els atacs APT32 són extremadament difícils de detectar perquè utilitza mètodes enganyosos per combinar les seves activitats amb les de les víctimes. Les pobres tècniques defensives que utilitzen nombroses corporacions governamentals i privades per protegir els seus ordinadors i dades són un plat complet per a delinqüents com els que hi ha darrere del Grup APT32, ja que poden envair aquestes màquines fàcilment, recollir dades essencials i fer-hi el que vulguin.