APT32
APT32,也被认为是 OceanLotus Group,在威胁场景中并不新鲜。自 2014 年以来,安全研究人员开始报告其攻击。APT32 攻击的主要目标是各国政府实体、记者、私营企业和违反官方政策的人。据报道,柬埔寨、菲律宾、越南和老挝发生了 APT32 攻击,这表明 APT32 集团的总部设在越南。为了避免被发现,APT32 攻击包含了无用的代码,这样安全程序就会被愚弄。为了与其命令和控制服务器交换信息,APT32 使用端口 80。APT32 攻击可以通过使用 GetPassword_x64 和Mimikatz收集登录数据。它还执行来自 McAfee 和 Symantec 的正版可执行文件以加载损坏的 DLL,并可以收集受感染计算机上的文件和目录列表。 APT32攻击所使用的任务和技巧太多了,很难一一列举。
为了获得对计算机的访问权限,APT32 攻击使用社会工程和鱼叉式网络钓鱼电子邮件来诱骗受害者启用 ActiveMime 文件中的宏。如果受害者同意,下载的文件会将几个损坏的文件从远程服务器传输到受感染的机器中。 APT32 攻击还可以监视消息和电子邮件,以了解谁中了它的诡计。 APT32 攻击极难检测,因为它使用误导性方法将其活动与受害者的活动混为一谈。许多政府和私人公司用来保护他们的计算机和数据的防御技术很差,这对于像 APT32 集团背后的犯罪分子来说是一个完整的盘子,因为他们可以轻松入侵这些机器,收集重要数据并为所欲为。
