APT32

APT32, riconosciuto anche come OceanLotus Group, non è nuovo nello scenario delle minacce. I suoi attacchi sono iniziati sono stati segnalati da ricercatori di sicurezza dal 2014. I principali obiettivi degli attacchi APT32 sono enti governativi di vari paesi, giornalisti, industrie di proprietà privata e persone contrarie alla politica ufficiale. Sono stati segnalati attacchi APT32 in Cambogia, Filippine, Vietnam e Laos, il che indica che il gruppo APT32 ha sede in Vietnam. Per evitare il rilevamento, l'attacco APT32 include codice inutile in modo che i programmi di sicurezza vengano ingannati. Per scambiare informazioni con il suo server di comando e controllo, APT32 utilizza la porta 80. L'attacco APT32 può raccogliere dati di accesso utilizzandoGetPassword_x64 e Mimikatz . Esegue anche eseguibili autentici da McAfee e Symantec per caricare una DLL danneggiata e può raccogliere un elenco di file e directory sul computer infetto. I compiti e i trucchi utilizzati dagli attacchi APT32 sono talmente tanti che non è facile enumerarli.

Per ottenere l'accesso a un computer, l'attacco APT32 utilizza l'ingegneria sociale e le e-mail di spear-phishing per indurre le sue vittime ad abilitare le macro dai file ActiveMime. Se le vittime sono d'accordo, il file scaricato trasferirà diversi file danneggiati dai server remoti alla macchina infetta. L'attacco APT32 può anche monitorare i messaggi e le e-mail per essere a conoscenza di chi è caduto nei suoi trucchi. Gli attacchi APT32 sono estremamente difficili da rilevare perché utilizza metodi fuorvianti per mescolare le loro attività con quelle delle vittime. Le scarse tecniche difensive utilizzate da numerose società governative e private per proteggere i loro computer e dati sono un piatto pieno per criminali come quelli dietro il gruppo APT32 poiché possono invadere facilmente queste macchine, raccogliere dati essenziali e farne quello che vogliono.