APT32

OceanLotus Grubu olarak da tanınan APT32, tehdit senaryosunda yeni değil. Saldırıları 2014 yılından itibaren güvenlik araştırmacıları tarafından rapor edilmeye başlandı. APT32 saldırılarının ana hedefleri çeşitli ülkelerin devlet kurumları, gazeteciler, özel sektör ve resmi politikaya karşı olan kişilerdir. Kamboçya, Filipinler, Vietnam ve Laos'ta APT32 Grubunun Vietnam merkezli olduğuna işaret eden APT32 saldırıları rapor edildi. Algılamayı önlemek için APT32 saldırısı, güvenlik programlarının kandırılabilmesi için işe yaramaz kodlar içerir. APT32, Komuta ve Kontrol sunucusuyla bilgi alışverişi yapmak için 80 numaralı bağlantı noktasını kullanır. APT32 saldırısı, GetPassword_x64 ve Mimikatz kullanarak oturum açma verilerini toplayabilir. Ayrıca, bozuk bir DLL dosyasını yüklemek için McAfee ve Symantec'ten orijinal yürütülebilir dosyaları yürütür ve virüslü bilgisayardaki dosya ve dizinlerin bir listesini toplayabilir. APT32 saldırılarının kullandığı görevler ve püf noktaları o kadar fazladır ki, bunları saymak kolay değildir.

APT32 saldırısı, bir bilgisayara erişmek için kurbanlarını ActiveMime dosyalarından makroları etkinleştirmeleri için kandırmak için sosyal mühendislik ve hedef odaklı kimlik avı e-postalarını kullanır. Kurbanlar kabul ederse, indirilen dosya birkaç bozuk dosyayı uzak sunuculardan virüslü makineye aktaracaktır. APT32 saldırısı, hilelerine kimin düştüğünün farkında olmak için mesajları ve e-postaları da izleyebilir. APT32 saldırılarını tespit etmek son derece zordur çünkü kendi faaliyetlerini kurbanların faaliyetleriyle karıştırmak için yanıltıcı yöntemler kullanır. Çok sayıda devlet ve özel şirketin bilgisayarlarını ve verilerini korumak için kullandığı zayıf savunma teknikleri, APT32 Grubunun arkasındakiler gibi suçlular için tam bir levhadır, çünkü bu makineleri kolayca istila edebilir, temel verileri toplayabilir ve onunla istediklerini yapabilirler.