APT32

APT32, המוכר גם כקבוצת OceanLotus, אינו חדש בתרחיש האיום. התקפותיה החלו דווחו על ידי חוקרי אבטחה מאז 2014. היעדים העיקריים של התקפות APT32 הם גופים ממשלתיים של מדינות שונות, עיתונאים, תעשיות בבעלות פרטית ואנשים נגד מדיניות רשמית. ישנן התקפות APT32 שדווחו בקמבודיה, הפיליפינים, וייטנאם ולאוס, מה שמצביע על בסיסה של קבוצת APT32 בווייטנאם. כדי להימנע מזיהוי, התקפת APT32 כוללת קוד חסר תועלת כך שתוכניות אבטחה יתבדו. כדי להחליף מידע עם שרת הפיקוד והבקרה שלו, APT32 משתמש ביציאה 80. התקפת APT32 יכולה לאסוף נתוני כניסה באמצעות GetPassword_x64 ו- Mimikatz . הוא גם מפעיל קובצי הפעלה מקוריים של McAfee ו-Symantec כדי לטעון DLL פגום ויכול לאסוף רשימה של הקבצים והספריות במחשב הנגוע. המשימות והטריקים המשמשים את התקפות APT32 הם כל כך רבים עד שלא קל למנות אותם.

כדי לקבל גישה למחשב, מתקפת ה-APT32 משתמשת בהנדסה חברתית ובמייל דיוג בחנית כדי להערים על קורבנותיה לאפשר פקודות מאקרו מקובצי ActiveMime. אם הקורבנות מסכימים, הקובץ שהורד יעביר מספר קבצים פגומים משרתים מרוחקים אל המחשב הנגוע. מתקפת APT32 יכולה גם לנטר את ההודעות והמיילים כדי להיות מודעים למי שנפל בטריקים שלה. קשה מאוד לזהות את התקפות APT32 מכיוון שהוא משתמש בשיטות מטעות כדי לערבב את הפעילות שלהם עם הפעילות של הקורבנות. טכניקות ההגנה העלובות המשמשות תאגידים ממשלתיים ופרטיים רבים כדי להגן על המחשבים והנתונים שלהם מהוות צלחת מלאה לפושעים כמו אלה שמאחורי קבוצת APT32 שכן הם יכולים לפלוש למכונות הללו בקלות, לאסוף נתונים חיוניים ולעשות איתם מה שהם רוצים.