APT32

APT32, також визнаний OceanLotus Group, не є новим у сценарії загроз. Про його атаки почали повідомляти дослідники безпеки з 2014 року. Основними цілями атак APT32 є урядові структури різних країн, журналісти, приватні підприємства та люди, які протистоять офіційної політики. Повідомляється про атаки APT32 у Камбоджі, Філіппінах, В’єтнамі та Лаосі, що вказує на те, що група APT32 базується у В’єтнамі. Щоб уникнути виявлення, атака APT32 включає марний код, щоб програми безпеки були обдурені. Для обміну інформацією зі своїм сервером командування та управління APT32 використовує порт 80. Атака APT32 може збирати дані входу за допомогою GetPassword_x64 і Mimikatz . Він також виконує справжні виконувані файли від McAfee і Symantec для завантаження пошкодженої DLL і може збирати список файлів і каталогів на зараженому комп’ютері. Завдань і прийомів, які використовуються при атаках APT32, настільки багато, що їх нелегко перерахувати.

Щоб отримати доступ до комп’ютера, атака APT32 використовує соціальну інженерію та фішингові електронні листи, щоб обманом змусити своїх жертв увімкнути макроси з файлів ActiveMime. Якщо жертви погодяться, завантажений файл перенесе кілька пошкоджених файлів з віддалених серверів на заражену машину. Атака APT32 також може відстежувати повідомлення та електронні листи, щоб знати, хто потрапив на її хитрощі. Атаки APT32 надзвичайно важко виявити, оскільки він використовує оманливі методи для змішування їх діяльності з діяльністю жертв. Погані захисні методи, які використовуються численними урядовими та приватними корпораціями для захисту своїх комп’ютерів і даних, є повною мірою для злочинців, таких як ті, що стоять за групою APT32, оскільки вони можуть легко вторгнутися на ці машини, збирати важливі дані і робити з ними все, що захочуть.