APT32

APT32, taip pat pripažinta kaip „OceanLotus Group“, grėsmės scenarijuje nėra naujiena. Apie jo atakas saugumo tyrėjai praneša nuo 2014 m. Pagrindiniai APT32 atakų taikiniai – įvairių šalių vyriausybiniai subjektai, žurnalistai, privačios pramonės įmonės ir žmonės, nusistatę prieš oficialią politiką. Apie APT32 atakas pranešta Kambodžoje, Filipinuose, Vietname ir Laose, o tai rodo, kad APT32 grupė yra įsikūrusi Vietname. Kad būtų išvengta aptikimo, APT32 ataka apima nenaudingą kodą, todėl apsaugos programos bus apgaudinėjamos. Norėdami keistis informacija su savo komandų ir valdymo serveriu, APT32 naudoja 80 prievadą. APT32 ataka gali rinkti prisijungimo duomenis naudodama GetPassword_x64 ir Mimikatz . Jis taip pat vykdo autentiškas vykdomąsias programas iš McAfee ir Symantec, kad įkeltų sugadintą DLL ir gali rinkti užkrėsto kompiuterio failų ir katalogų sąrašą. APT32 atakų naudojamų užduočių ir gudrybių yra tiek daug, kad juos išvardinti nėra lengva.

Kad gautų prieigą prie kompiuterio, APT32 ataka naudoja socialinę inžineriją ir sukčiavimo el. laiškus, kad apgautų aukas, kad jos įgalintų makrokomandas iš ActiveMime failų. Jei aukos sutinka, atsisiųstas failas perkels kelis sugadintus failus iš nuotolinių serverių į užkrėstą įrenginį. APT32 ataka taip pat gali stebėti pranešimus ir el. laiškus, kad žinotų, kas papuolė į jos triukus. APT32 atakas labai sunku aptikti, nes jose naudojami klaidinantys metodai, siekiant sumaišyti jų veiklą su aukų veikla. Prastos gynybos technikos, kurias naudoja daugybė vyriausybinių ir privačių korporacijų, kad apsaugotų savo kompiuterius ir duomenis, yra pilna nusikaltėlių, tokių kaip APT32 grupės, plokštė, nes jie gali lengvai įsibrauti į šias mašinas, rinkti esminius duomenis ir daryti su jais ką nori.