APT32

APT32, priznan tudi kot OceanLotus Group, ni nov v scenariju grožnje. O njegovih napadih so raziskovalci varnosti poročali od leta 2014. Glavne tarče napadov APT32 so vladni subjekti različnih držav, novinarji, podjetja v zasebni lasti in ljudje, ki nasprotujejo uradni politiki. V Kambodži, na Filipinih, v Vietnamu in Laosu poročajo o napadih APT32, kar kaže na to, da ima skupina APT32 sedež v Vietnamu. Da bi se izognili odkrivanju, napad APT32 vključuje neuporabno kodo, tako da bodo varnostni programi prevarani. Za izmenjavo informacij s svojim strežnikom za upravljanje in nadzor uporablja APT32 vrata 80. Napad APT32 lahko zbira podatke za prijavo z uporabo GetPassword_x64 in Mimikatz . Prav tako izvaja pristne izvedljive datoteke McAfee in Symantec, da naloži poškodovano DLL in lahko zbere seznam datotek in imenikov v okuženem računalniku. Nalog in trikov, ki jih uporabljajo napadi APT32, je toliko, da jih ni lahko našteti.

Za dostop do računalnika napad APT32 uporablja socialni inženiring in e-poštna sporočila z lažnim predstavljanjem, da svoje žrtve zavede, da omogočijo makre iz datotek ActiveMime. Če se žrtve strinjajo, bo prenesena datoteka prenesla več poškodovanih datotek iz oddaljenih strežnikov v okuženi računalnik. Napad APT32 lahko tudi spremlja sporočila in e-pošto, da se zaveda, kdo je naletel na njegove trike. Napade APT32 je zelo težko odkriti, ker uporablja zavajajoče metode za mešanje njihovih dejavnosti z dejavnostmi žrtev. Slabe obrambne tehnike, ki jih uporabljajo številne vladne in zasebne korporacije za zaščito svojih računalnikov in podatkov, so popolna za kriminalce, kot so tisti, ki stojijo za skupino APT32, saj lahko zlahka vdrejo v te stroje, zbirajo bistvene podatke in z njimi počnejo, kar hočejo.