APT32

APT32 Kirjeldus

APT32, mida tunnustatakse ka kui OceanLotus Group, pole ohustsenaariumi puhul uus. Turvauurijad on selle rünnakutest teatanud alates 2014. aastast. APT32 rünnakute peamised sihtmärgid on erinevate riikide valitsusasutused, ajakirjanikud, eraettevõtted ja ametliku poliitika vastu võitlejad. Kambodžas, Filipiinidel, Vietnamis ja Laoses on teatatud APT32 rünnakutest, mis viitab APT32 grupi asukohale Vietnamis. Avastamise vältimiseks sisaldab APT32 rünnak kasutut koodi, et turvaprogrammid pettaksid. Käsu- ja juhtimisserveriga teabe vahetamiseks kasutab APT32 porti 80. APT32 rünnak võib koguda sisselogimisandmeid, kasutades GetPassword_x64 ja Mimikatz . Samuti käivitab see McAfee ja Symanteci ehtsaid täitmisfaile rikutud DLL-i laadimiseks ning suudab koguda nakatunud arvutis olevate failide ja kataloogide loendit. APT32 rünnakute ülesandeid ja nippe on nii palju, et neid pole lihtne loetleda.

Arvutile juurdepääsu saamiseks kasutab APT32 rünnak sotsiaalset manipuleerimist ja andmepüügi e-kirju, et petta oma ohvreid ActiveMime-failidest makrosid lubama. Kui ohvrid nõustuvad, kannab allalaaditud fail mitu rikutud faili kaugserveritest nakatunud masinasse. APT32 rünnak saab jälgida ka sõnumeid ja e-kirju, et olla teadlik sellest, kes on selle trikkide alla sattunud. APT32 rünnakuid on äärmiselt raske tuvastada, kuna see kasutab eksitavaid meetodeid, et segada nende tegevust ohvrite tegevustega. Halvad kaitsetehnikad, mida arvukad valitsus- ja erakorporatsioonid oma arvutite ja andmete kaitsmiseks kasutavad, on APT32 grupi taustaga sarnaste kurjategijate jaoks täiel rinnal, sest nad võivad kergesti nendesse masinatesse tungida, koguda olulisi andmeid ja teha nendega, mida tahavad.