APT32

O APT32 também reconhecido como o OceanLotus Group, é uma ameaça persistente avançada, um grupo criminoso que realiza ataques digitais. O APT32 parece estar localizado no Vietnã e é responsável por vários ataques de alto perfil contra corporações, dissidentes políticos, governos e jornalistas. O APT32 usa tanto o malware personalizado que criou quanto as ferramentas disponíveis comercialmente.

Algumas Particularidades do APT32

O APT32 está ativo desde pelo menos 2014, realizando ataques contra alvos localizados no sudeste da Ásia. O APT32 parece ser apoiado pelo governo vietnamita e tem sido responsável por uma variedade de ataques a empresas e governos que representam um interesse político para o Vietnã. A seguir, exemplos de ataques que foram vinculados ao APT32:

• Um ataque em 2014 em uma corporação da Europa que construiria instalações no Vietnã.
• Um ataque em 2016 contra corporações nas indústrias de segurança de rede, infraestrutura de tecnologia, mídia e finanças, tanto vietnamitas quanto não vietnamitas.
• Uma ameaça de malware desenvolvida em 2016 e implantada contra redes de desenvolvedores globais de hotéis que desejam expandir-se para o Vietnã.
• Ataques em 2016 e 2017 contra corporações americanas e filipinas localizadas no Vietnã.

Os pesquisadores de malware observaram diversas famílias de malware usadas nos ataques do APT32, incluindo o seguinte:

WINDSHIELD
PHOREAL
BEACON
SOUNDBITE

Alvos Comuns dos Ataques do APT32

Os principais interesses da APT32 parecem estar afetando a influência estrangeira e o setor privado quando ligados aos interesses vietnamitas. O APT32 também parece ter como alvo dissidentes políticos e jornalistas com ataques registrados pelo menos desde 2013. Os seguintes são exemplos dos alvos em ataques do APT32:

• O APT32 atacou blogueiros, jornalistas e dissidentes políticos em 2013 usando malware e táticas que têm sido associados a esse grupo.
• O APT32 realizou um ataque de spear phishing contra dissidentes políticos nas comunidades vietnamitas em vários países do sudeste asiático em 2014.
• O APT32 teve como alvo o público chinês e uma empresa privada em 2015 e usou malware que foi vinculado a outros ataques do APT32.
• O APT32 teve como alvo dois meios de comunicação vietnamitas para coletar informações privadas ao longo de 2015 e 2016.
• O APT32 usou conteúdo de engenharia social e iscas para atingir indivíduos vietnamitas na Austrália e nas Filipinas desde 2017.

Uma das principais formas pelas quais os criminosos responsáveis pelos ataques do APT32 realizarão os seus ataques é usando documentos com aparência altamente autêntica para induzir os usuários de computador a baixar e instalar malware. Esses arquivos geralmente contêm títulos e linhas de assunto, como os seguintes:

2017 年 员工 工资 性 津贴 额 统计 报告 .doc
(Relatório Estatístico de 2017 sobre Salário e Subsídios de Pessoal)

Nội-dung-quảng-cáo.doc
(Publicidade de Conteúdo Interno)

Refletindo sobre o Significado da Ascensão do APT32

Os APTs são tipicamente associados à China, Rússia, Irã e Coréia do Norte. No entanto, a ascensão e a presença do APT32 indicam que inúmeros novos países estão começando a se envolver no espaço on-line para realizar atividades de espionagem e defesa, aproveitando recursos e ferramentas recém-disponíveis. Estas operações podem ser bastante poderosas e usadas para causar um efeito devastador e são relativamente baratas e eficientes. Por causa disso, é importante que os governos se engajem no discurso público para começar a regular esses ataques e garantir que os alvos em potencial do APT32 e grupos APT semelhantes sejam protegidos contra invasões e operações semelhantes.