APT32

Az OceanLotus Group néven is ismert APT32 nem újdonság a fenyegetési forgatókönyvben. Támadásairól 2014 óta számoltak be biztonsági kutatók. Az APT32 támadások fő célpontjai különböző országok kormányzati szervei, újságírók, magántulajdonban lévő iparágak és a hivatalos politikát ellenző emberek. APT32 támadásokról számoltak be Kambodzsában, a Fülöp-szigeteken, Vietnamban és Laoszban, ami arra utal, hogy az APT32 csoport vietnami székhellyel rendelkezik. Az észlelés elkerülése érdekében az APT32 támadás haszontalan kódot tartalmaz, így a biztonsági programok megtévesztik. A Command and Control szerverével való információcseréhez az APT32 a 80-as portot használja. Az APT32 támadás a GetPassword_x64 és a Mimikatz használatával gyűjthet bejelentkezési adatokat. A McAfee és a Symantec eredeti végrehajtható fájljait is végrehajtja a sérült DLL betöltéséhez, és össze tudja gyűjteni a fertőzött számítógépen lévő fájlok és könyvtárak listáját. Az APT32 támadások által használt feladatok és trükkök olyan sokfélék, hogy felsorolni sem könnyű őket.

A számítógéphez való hozzáférés érdekében az APT32 támadás social engineering és lándzsás adathalász e-mailek segítségével csalja meg áldozatait, hogy engedélyezzék a makrókat az ActiveMime fájlokból. Ha az áldozatok beleegyeznek, a letöltött fájl több sérült fájlt továbbít a távoli szerverekről a fertőzött gépre. Az APT32 támadás emellett képes figyelni az üzeneteket és e-maileket, hogy tisztában legyen azzal, kik csaptak be a trükkjeibe. Az APT32 támadásokat rendkívül nehéz észlelni, mert félrevezető módszerekkel keveri tevékenységeiket az áldozatok tevékenységeivel. A számos kormányzati és magánvállalat által számítógépeik és adataik védelmére alkalmazott rossz védekezési technikák telitalálat az olyan bűnözők számára, mint az APT32 csoport mögött állók, mivel könnyen behatolhatnak ezekbe a gépekbe, összegyűjthetik a lényeges adatokat, és azt csinálhatnak velük, amit akarnak.