APT32

APT32, znany również jako OceanLotus Group, nie jest nowy w scenariuszu zagrożenia. Jego ataki zaczęły być zgłaszane przez badaczy bezpieczeństwa od 2014 roku. Głównymi celami ataków APT32 są podmioty rządowe różnych krajów, dziennikarze, sektory prywatne i osoby sprzeciwiające się oficjalnej polityce. Odnotowano ataki APT32 w Kambodży, Filipinach, Wietnamie i Laosie, co wskazuje, że grupa APT32 ma siedzibę w Wietnamie. Aby uniknąć wykrycia, atak APT32 zawiera bezużyteczny kod, dzięki czemu programy zabezpieczające zostaną oszukane. Do wymiany informacji z serwerem dowodzenia i kontroli, APT32 używa portu 80. APT32 może zbierać dane logowania za pomocą GetPassword_x64 i Mimikatz . Wykonuje również oryginalne pliki wykonywalne firm McAfee i Symantec w celu załadowania uszkodzonej biblioteki DLL i może gromadzić listę plików i katalogów na zainfekowanym komputerze. Zadania i sztuczki wykorzystywane przez ataki APT32 są tak liczne, że nie jest łatwo je wyliczyć.

Aby uzyskać dostęp do komputera, atak APT32 wykorzystuje socjotechnikę i e-maile typu spear-phishing, aby nakłonić ofiary do włączenia makr z plików ActiveMime. Jeśli ofiary wyrażą zgodę, pobrany plik przeniesie kilka uszkodzonych plików ze zdalnych serwerów na zainfekowaną maszynę. Atak APT32 może również monitorować wiadomości i e-maile, aby wiedzieć, kto dał się nabrać na jego sztuczki. Ataki APT32 są niezwykle trudne do wykrycia, ponieważ wykorzystują wprowadzające w błąd metody, aby mieszać ich działania z działaniami ofiar. Kiepskie techniki obronne stosowane przez liczne rządowe i prywatne korporacje w celu ochrony ich komputerów i danych są dla przestępców, takich jak osoby stojące za grupą APT32, pełną miarą, ponieważ mogą łatwo zaatakować te maszyny, zbierać niezbędne dane i robić z nimi, co chcą.