APT32

APT32, recunoscut și ca Grupul OceanLotus, nu este nou în scenariul de amenințare. Atacurile sale au început au fost raportate de cercetătorii în domeniul securității încă din 2014. Principalele ținte ale atacurilor APT32 sunt entitățile guvernamentale din diferite țări, jurnaliștii, industriile private și oamenii împotriva politicii oficiale. Există atacuri APT32 raportate în Cambodgia, Filipine, Vietnam și Laos, ceea ce indică faptul că Grupul APT32 are sediul în Vietnam. Pentru a evita detectarea, atacul APT32 include cod inutil pentru ca programele de securitate să fie păcălite. Pentru a face schimb de informații cu serverul său de comandă și control, APT32 utilizează portul 80. Atacul APT32 poate colecta date de conectare utilizând GetPassword_x64 și Mimikatz . De asemenea, execută executabile autentice de la McAfee și Symantec pentru a încărca un DLL corupt și poate colecta o listă a fișierelor și directoarelor de pe computerul infectat. Sarcinile și trucurile folosite de atacurile APT32 sunt atât de multe încât nu este ușor să le enumerați.

Pentru a obține acces la un computer, atacul APT32 utilizează e-mailuri de inginerie socială și spear-phishing pentru a-și păcăli victimele să activeze macrocomenzi din fișierele ActiveMime. Dacă victimele sunt de acord, fișierul descărcat va transfera mai multe fișiere corupte de pe servere la distanță în mașina infectată. Atacul APT32 poate monitoriza, de asemenea, mesajele și e-mailurile pentru a fi conștienți de cine a căzut în trucurile sale. Atacurile APT32 sunt extrem de greu de detectat deoarece folosește metode înșelătoare pentru a amesteca activitățile lor cu activitățile victimelor. Tehnicile defensive slabe folosite de numeroase corporații guvernamentale și private pentru a-și proteja computerele și datele sunt o farfurie completă pentru infractorii precum cei din spatele Grupului APT32, deoarece pot invada aceste mașini cu ușurință, pot colecta date esențiale și pot face ce vor cu ele.