APT32

APT32, còn được công nhận là OceanLotus Group, không phải là mới về kịch bản mối đe dọa. Các cuộc tấn công của nó bắt đầu được báo cáo bởi các nhà nghiên cứu bảo mật từ năm 2014. Mục tiêu chính của các cuộc tấn công APT32 là các tổ chức chính phủ của các quốc gia khác nhau, các nhà báo, các ngành công nghiệp tư nhân và những người chống lại chính sách chính thức. Có các cuộc tấn công APT32 được báo cáo ở Campuchia, Philippines, Việt Nam và Lào, điều này chỉ cho Nhóm APT32 có trụ sở tại Việt Nam. Để tránh bị phát hiện, cuộc tấn công APT32 bao gồm mã vô dụng để các chương trình bảo mật sẽ bị đánh lừa. Để trao đổi thông tin với máy chủ Chỉ huy và Điều khiển, APT32 sử dụng cổng 80. Cuộc tấn công APT32 có thể thu thập dữ liệu đăng nhập bằng cách sử dụngGetPassword_x64 và Mimikatz . Nó cũng thực thi các tệp thực thi chính hãng từ McAfee và Symantec để tải một DLL bị hỏng và có thể thu thập danh sách các tệp và thư mục trên máy tính bị nhiễm. Các nhiệm vụ và thủ thuật được sử dụng bởi các cuộc tấn công APT32 rất nhiều nên không dễ để liệt kê chúng.

Để có được quyền truy cập vào máy tính, cuộc tấn công APT32 sử dụng kỹ thuật xã hội và email lừa đảo trực tuyến để lừa nạn nhân của nó kích hoạt macro từ các tệp ActiveMime. Nếu nạn nhân đồng ý, tệp tải xuống sẽ chuyển một số tệp bị hỏng từ các máy chủ từ xa vào máy bị nhiễm. Cuộc tấn công APT32 cũng có thể giám sát các tin nhắn và email để biết được ai đã sa lưới các mánh khóe của nó. Các cuộc tấn công APT32 cực kỳ khó bị phát hiện vì nó sử dụng các phương pháp gây hiểu nhầm để trộn các hoạt động của chúng với các hoạt động của nạn nhân. Các kỹ thuật phòng thủ kém được sử dụng bởi nhiều tập đoàn chính phủ và tư nhân để bảo vệ máy tính và dữ liệu của họ là dấu hiệu đầy đủ cho bọn tội phạm như những kẻ đứng sau APT32 Group vì chúng có thể xâm nhập những máy này một cách dễ dàng, thu thập dữ liệu cần thiết và làm bất cứ điều gì chúng muốn với nó.