APT32

APT32 که به عنوان گروه OceanLotus نیز شناخته می شود، در سناریوی تهدید جدید نیست. حملات آن توسط محققان امنیتی از سال 2014 گزارش شده است. اهداف اصلی حملات APT32 نهادهای دولتی کشورهای مختلف، روزنامه نگاران، صنایع خصوصی و مردم علیه سیاست های رسمی هستند. حملات APT32 در کامبوج، فیلیپین، ویتنام و لائوس گزارش شده است که به گروه APT32 اشاره دارد که در ویتنام مستقر هستند. برای جلوگیری از شناسایی، حمله APT32 شامل کدهای بی فایده است تا برنامه های امنیتی فریب بخورند. برای تبادل اطلاعات با سرور فرمان و کنترل، APT32 از پورت 80 استفاده می کند. حمله APT32 می تواند داده های ورود را با استفاده از GetPassword_x64 و Mimikatz جمع آوری کند. همچنین فایل های اجرایی واقعی McAfee و Symantec را برای بارگذاری یک DLL خراب اجرا می کند و می تواند لیستی از فایل ها و دایرکتوری ها را در رایانه آلوده جمع آوری کند. وظایف و ترفندهای مورد استفاده در حملات APT32 به قدری زیاد است که به راحتی نمی توان آنها را برشمرد.

برای دسترسی به رایانه، حمله APT32 از مهندسی اجتماعی و ایمیل‌های فیشینگ نیزه استفاده می‌کند تا قربانیان خود را فریب دهد تا ماکروها را از فایل‌های ActiveMime فعال کنند. اگر قربانیان موافقت کنند، فایل دانلود شده چندین فایل خراب را از سرورهای راه دور به دستگاه آلوده منتقل می کند. حمله APT32 همچنین می‌تواند پیام‌ها و ایمیل‌ها را زیر نظر بگیرد تا متوجه شود چه کسانی به دام حقه‌های آن افتاده‌اند. شناسایی حملات APT32 بسیار سخت است زیرا از روش‌های گمراه‌کننده برای ترکیب فعالیت‌های آن‌ها با فعالیت‌های قربانیان استفاده می‌کند. تکنیک‌های دفاعی ضعیفی که توسط شرکت‌های دولتی و خصوصی متعدد برای محافظت از رایانه‌ها و داده‌هایشان استفاده می‌شود، برای مجرمانی مانند جنایتکارانی که پشت گروه APT32 قرار دارند، یک صفحه کامل است، زیرا آنها می‌توانند به راحتی به این ماشین‌ها حمله کنند، داده‌های ضروری را جمع‌آوری کنند و هر کاری که می‌خواهند با آن انجام دهند.