APT32

APT32 Opis

APT32, također poznat kao OceanLotus Group, nije nov u scenariju prijetnji. Njegove napade započeli su istraživači sigurnosti izvještavali od 2014. Glavne mete napada APT32 su vladini subjekti raznih zemalja, novinari, privatna industrija i ljudi koji se protive službenoj politici. Prijavljeni su napadi APT32 u Kambodži, Filipinima, Vijetnamu i Laosu, što ukazuje na to da je grupa APT32 sa sjedištem u Vijetnamu. Kako bi se izbjeglo otkrivanje, APT32 napad uključuje beskorisni kod tako da će sigurnosni programi biti prevareni. Za razmjenu informacija sa svojim Command and Control poslužiteljem, APT32 koristi port 80. APT32 napad može prikupljati podatke za prijavu korištenjem GetPassword_x64 i Mimikatza . Također izvršava originalne izvršne datoteke McAfeea i Symanteca kako bi učitao oštećeni DLL i može prikupiti popis datoteka i direktorija na zaraženom računalu. Zadaća i trikova koje koriste APT32 napadi su toliko da ih nije lako nabrojati.

Kako bi dobio pristup računalu, APT32 napad koristi društveni inženjering i phishing e-poruke kako bi prevario svoje žrtve da omoguće makronaredbe iz ActiveMime datoteka. Ako se žrtve slažu, preuzeta datoteka će prenijeti nekoliko oštećenih datoteka s udaljenih poslužitelja na zaraženi stroj. APT32 napad također može pratiti poruke i e-poštu kako bi bio svjestan tko je nasjeo na njegove trikove. APT32 napade je iznimno teško otkriti jer koristi obmanjujuće metode za miješanje njihovih aktivnosti s aktivnostima žrtava. Loše obrambene tehnike koje koriste brojne vladine i privatne korporacije kako bi zaštitile svoja računala i podatke su puna ploča za kriminalce poput onih koji stoje iza APT32 Grupe jer mogu lako upasti u te strojeve, prikupiti bitne podatke i raditi što god žele s njima.