APT32

APT32, også anerkjent som OceanLotus Group, er ikke nytt i trusselscenarioet. Angrepene som startet, har blitt rapportert av sikkerhetsforskere siden 2014. Hovedmålene for APT32-angrepene er ulike lands statlige enheter, journalister, privateide industrier og folk mot offisiell politikk. Det er rapportert APT32-angrep i Kambodsja, Filippinene, Vietnam og Laos, noe som peker på at APT32-gruppen har base i Vietnam. For å unngå oppdagelse inkluderer APT32-angrepet ubrukelig kode slik at sikkerhetsprogrammer vil bli lurt. For å utveksle informasjon med kommando- og kontrollserveren bruker APT32 port 80. APT32-angrepet kan samle inn påloggingsdata ved å bruke GetPassword_x64 og Mimikatz . Den kjører også ekte kjørbare filer fra McAfee og Symantec for å laste en ødelagt DLL og kan samle en liste over filene og katalogene på den infiserte datamaskinen. Oppgavene og triksene som brukes av APT32-angrepene er så mange at det ikke er lett å regne dem opp.

For å få tilgang til en datamaskin bruker APT32-angrepet social engineering og spyd-phishing-e-poster for å lure ofrene til å aktivere makroer fra ActiveMime-filer. Hvis ofrene er enige, vil den nedlastede filen overføre flere ødelagte filer fra eksterne servere til den infiserte maskinen. APT32-angrepet kan også overvåke meldingene og e-postene for å være klar over hvem som har falt for triksene. APT32-angrepene er ekstremt vanskelige å oppdage fordi de bruker villedende metoder for å blande deres aktiviteter med ofrenes aktiviteter. De dårlige defensive teknikkene som brukes av en rekke statlige og private selskaper for å beskytte datamaskinene og dataene deres er en full tallerken for kriminelle som de bak APT32 Group siden de enkelt kan invadere disse maskinene, samle inn viktige data og gjøre hva de vil med det.