APT32

APT32, также известный как OceanLotus Group, не новичок в сценарии угроз. Исследователи безопасности начали сообщать о его атаках с 2014 года. Основными целями атак APT32 являются правительственные учреждения различных стран, журналисты, частные предприятия и люди, выступающие против официальной политики. Сообщается об атаках APT32 в Камбодже, Филиппинах, Вьетнаме и Лаосе, что указывает на то, что группа APT32 базируется во Вьетнаме. Чтобы избежать обнаружения, атака APT32 включает в себя бесполезный код, так что программы безопасности будут обмануты. Для обмена информацией со своим сервером управления и контроля APT32 использует порт 80. Атака APT32 может собирать данные для входа с помощью GetPassword_x64 и Mimikatz . Он также запускает подлинные исполняемые файлы от McAfee и Symantec для загрузки поврежденной библиотеки DLL и может собирать список файлов и каталогов на зараженном компьютере. Задач и уловок, используемых APT32-атаками, так много, что перечислить их непросто.

Чтобы получить доступ к компьютеру, атака APT32 использует социальную инженерию и фишинговые электронные письма, чтобы обманом заставить своих жертв активировать макросы из файлов ActiveMime. Если жертвы согласны, загруженный файл перенесет несколько поврежденных файлов с удаленных серверов на зараженную машину. Атака APT32 также может отслеживать сообщения и электронные письма, чтобы знать, кто попался на ее уловки. Атаки APT32 чрезвычайно трудно обнаружить, поскольку они используют вводящие в заблуждение методы, чтобы смешивать их действия с действиями жертв. Плохие защитные методы, используемые многочисленными государственными и частными корпорациями для защиты своих компьютеров и данных, являются полной мишенью для преступников, таких как те, кто стоит за группой APT32, поскольку они могут легко вторгаться в эти машины, собирать важные данные и делать с ними все, что они хотят.