APT32

APT32, joka tunnetaan myös nimellä OceanLotus Group, ei ole uusi uhkaskenaariossa. Turvallisuustutkijat ovat raportoineet sen hyökkäyksistä vuodesta 2014 lähtien. APT32-hyökkäysten pääkohteita ovat eri maiden hallintoelimet, toimittajat, yksityisomistuksessa olevat teollisuudenalat ja virallista politiikkaa vastustajat. APT32-hyökkäyksiä on raportoitu Kambodžassa, Filippiineillä, Vietnamissa ja Laosissa, mikä viittaa siihen, että APT32-ryhmä sijaitsee Vietnamissa. Tunnistuksen välttämiseksi APT32-hyökkäys sisältää turhaa koodia, jotta suojausohjelmat huijataan. Tietojen vaihtamiseen Command and Control -palvelimensa kanssa APT32 käyttää porttia 80. APT32-hyökkäys voi kerätä kirjautumistietoja käyttämällä GetPassword_x64 ja Mimikatz . Se myös suorittaa aidot McAfeen ja Symantecin suoritettavat tiedostot vioittuneen DLL:n lataamiseksi ja voi kerätä luettelon tartunnan saaneen tietokoneen tiedostoista ja hakemistoista. APT32-hyökkäysten käyttämiä tehtäviä ja temppuja on niin monia, että niitä ei ole helppo luetella.

Päästäkseen käsiksi tietokoneeseen APT32-hyökkäys käyttää manipulointia ja keihään kalastelusähköposteja huijatakseen uhrejaan ottamaan käyttöön makroja ActiveMime-tiedostoista. Jos uhrit suostuvat, ladattu tiedosto siirtää useita vioittuneita tiedostoja etäpalvelimista tartunnan saaneelle koneelle. APT32-hyökkäys voi myös tarkkailla viestejä ja sähköposteja, jotta se tietää, ketkä ovat sortuneet sen temppuihin. APT32-hyökkäykset on erittäin vaikea havaita, koska se käyttää harhaanjohtavia menetelmiä sekoittaakseen heidän toimintaansa uhrien toimintaan. Lukuisten valtion ja yksityisten yritysten tietokoneidensa ja tietojensa suojaamiseen käyttämät huonot puolustustekniikat ovat APT32-ryhmän taustalla olevien kaltaisten rikollisten täysi kilpi, koska he voivat tunkeutua näihin koneisiin helposti, kerätä tärkeitä tietoja ja tehdä niillä mitä haluavat.