APT32

APT32 คำอธิบาย

APT32 ซึ่งเป็นที่รู้จักในฐานะกลุ่ม OceanLotus ไม่ใช่เรื่องใหม่ในสถานการณ์ภัยคุกคาม นักวิจัยด้านความปลอดภัยเริ่มรายงานการโจมตีตั้งแต่ปี 2014 เป้าหมายหลักของการโจมตี APT32 คือหน่วยงานของรัฐ นักข่าว อุตสาหกรรมของเอกชน และบุคคลที่ขัดต่อนโยบายของทางการ มีรายงานการโจมตี APT32 ในกัมพูชา ฟิลิปปินส์ เวียดนาม และลาว ซึ่งชี้ไปที่กลุ่ม APT32 ในเวียดนาม เพื่อหลีกเลี่ยงการตรวจจับ การโจมตี APT32 จะรวมรหัสที่ไร้ประโยชน์เพื่อให้โปรแกรมความปลอดภัยถูกหลอก ในการแลกเปลี่ยนข้อมูลกับเซิร์ฟเวอร์ Command and Control APT32 ใช้พอร์ต 80 การโจมตี APT32 สามารถรวบรวมข้อมูลการเข้าสู่ระบบได้โดยใช้GetPassword_x64 และ Mimikatz นอกจากนี้ยังรันโปรแกรมปฏิบัติการของแท้จาก McAfee และ Symantec เพื่อโหลด DLL ที่เสียหาย และสามารถรวบรวมรายการไฟล์และไดเร็กทอรีบนคอมพิวเตอร์ที่ติดไวรัส งานและลูกเล่นที่ใช้โดยการโจมตี APT32 มีมากมายจนไม่สามารถระบุได้ง่าย

ในการเข้าถึงคอมพิวเตอร์ การโจมตี APT32 ใช้วิศวกรรมสังคมและอีเมลฟิชชิ่งเพื่อหลอกล่อเหยื่อให้เปิดใช้งานมาโครจากไฟล์ ActiveMime หากเหยื่อยินยอม ไฟล์ที่ดาวน์โหลดจะถ่ายโอนไฟล์ที่เสียหายหลายไฟล์จากเซิร์ฟเวอร์ระยะไกลไปยังเครื่องที่ติดไวรัส การโจมตี APT32 ยังสามารถตรวจสอบข้อความและอีเมลได้ เพื่อจะได้รู้ว่าใครตกเป็นเหยื่อกลอุบายของมัน การโจมตีแบบ APT32 นั้นยากต่อการตรวจจับมาก เนื่องจากมันใช้วิธีการที่ทำให้เข้าใจผิดในการผสมผสานกิจกรรมกับกิจกรรมของเหยื่อ เทคนิคการป้องกันที่ไม่ดีที่ใช้ในองค์กรภาครัฐและเอกชนจำนวนมากในการปกป้องคอมพิวเตอร์และข้อมูลของพวกเขาเป็นแนวทางที่สมบูรณ์สำหรับอาชญากรเช่นเดียวกับกลุ่ม APT32 เนื่องจากพวกเขาสามารถบุกรุกเครื่องเหล่านี้ได้อย่างง่ายดาย รวบรวมข้อมูลที่จำเป็น และทำทุกอย่างที่พวกเขาต้องการด้วย