APT32

APT32, i njohur gjithashtu si Grupi OceanLotus, nuk është i ri në skenarin e kërcënimit. Sulmet e saj filluan të raportohen nga studiues të sigurisë që nga viti 2014. Objektivat kryesore të sulmeve APT32 janë entitete qeveritare të vendeve të ndryshme, gazetarë, industri private dhe njerëz kundër politikës zyrtare. Ka sulme APT32 të raportuara në Kamboxhia, Filipine, Vietnam dhe Laos, gjë që tregon se Grupi APT32 me qendër në Vietnam. Për të shmangur zbulimin, sulmi APT32 përfshin kod të padobishëm në mënyrë që programet e sigurisë të mashtrohen. Për të shkëmbyer informacione me serverin e tij Command and Control, APT32 përdor portin 80. Sulmi APT32 mund të mbledhë të dhëna identifikimi duke përdorur GetPassword_x64 dhe Mimikatz . Ai gjithashtu ekzekuton ekzekutues të vërtetë nga McAfee dhe Symantec për të ngarkuar një DLL të dëmtuar dhe mund të mbledhë një listë të skedarëve dhe drejtorive në kompjuterin e infektuar. Detyrat dhe truket e përdorura nga sulmet APT32 janë aq të shumta sa nuk është e lehtë t'i numërosh ato.

Për të fituar akses në një kompjuter, sulmi APT32 përdor inxhinieri sociale dhe emaile spear-phishing për të mashtruar viktimat e tij për të mundësuar makro nga skedarët ActiveMime. Nëse viktimat bien dakord, skedari i shkarkuar do të transferojë disa skedarë të dëmtuar nga serverët e largët në makinën e infektuar. Sulmi APT32 gjithashtu mund të monitorojë mesazhet dhe emailet për të qenë të vetëdijshëm se kush kanë rënë në truket e tij. Sulmet APT32 janë jashtëzakonisht të vështira për t'u zbuluar sepse përdor metoda mashtruese për të përzier aktivitetet e tyre me aktivitetet e viktimave. Teknikat e dobëta mbrojtëse të përdorura nga shumë korporata qeveritare dhe private për të mbrojtur kompjuterët dhe të dhënat e tyre janë një pjatë e plotë për kriminelët si ata që qëndrojnë pas Grupit APT32 pasi ata mund t'i pushtojnë këto makina lehtësisht, të mbledhin të dhëna thelbësore dhe të bëjnë çfarë të duan me to.