APT32

APT32 Description

APT32, juga diiktiraf sebagai Kumpulan OceanLotus, bukanlah perkara baharu dalam senario ancaman. Serangannya dimulakan telah dilaporkan oleh penyelidik keselamatan sejak 2014. Sasaran utama serangan APT32 ialah entiti kerajaan, wartawan, industri milik swasta dan orang ramai yang menentang dasar rasmi pelbagai negara. Terdapat serangan APT32 yang dilaporkan di Kemboja, Filipina, Vietnam dan Laos, yang menunjuk kepada Kumpulan APT32 yang berpangkalan di Vietnam. Untuk mengelakkan pengesanan, serangan APT32 termasuk kod yang tidak berguna supaya program keselamatan akan tertipu. Untuk bertukar maklumat dengan pelayan Perintah dan Kawalannya, APT32 menggunakan port 80. Serangan APT32 boleh mengumpul data log masuk dengan menggunakanGetPassword_x64 dan Mimikatz . Ia juga melaksanakan boleh laku tulen daripada McAfee dan Symantec untuk memuatkan DLL yang rosak dan boleh mengumpul senarai fail dan direktori pada komputer yang dijangkiti. Tugas dan helah yang digunakan oleh serangan APT32 adalah begitu banyak sehingga tidak mudah untuk menghitungnya.

Untuk mendapatkan akses kepada komputer, serangan APT32 menggunakan e-mel kejuruteraan sosial dan spear-phishing untuk menipu mangsanya supaya membolehkan makro daripada fail ActiveMime. Jika mangsa bersetuju, fail yang dimuat turun akan memindahkan beberapa fail yang rosak dari pelayan jauh ke dalam mesin yang dijangkiti. Serangan APT32 juga boleh memantau mesej dan e-mel untuk mengetahui siapa yang telah jatuh untuk helahnya. Serangan APT32 amat sukar untuk dikesan kerana ia menggunakan kaedah yang mengelirukan untuk mencampurkan aktiviti mereka dengan aktiviti mangsa. Teknik pertahanan yang lemah yang digunakan oleh banyak syarikat kerajaan dan swasta untuk melindungi komputer dan data mereka adalah plat penuh untuk penjenayah seperti yang berada di belakang Kumpulan APT32 kerana mereka boleh menyerang mesin ini dengan mudah, mengumpul data penting dan melakukan apa sahaja yang mereka mahu dengannya.