APT32
APT32,也被認為是 OceanLotus Group,在威脅場景中並不新鮮。自 2014 年以來,安全研究人員開始報告其攻擊。APT32 攻擊的主要目標是各國政府實體、記者、私營企業和違反官方政策的人。據報導,柬埔寨、菲律賓、越南和老撾發生了 APT32 攻擊,這表明 APT32 集團的總部設在越南。為了避免被發現,APT32 攻擊包含了無用的代碼,這樣安全程序就會被愚弄。為了與其命令和控制服務器交換信息,APT32 使用端口 80。APT32 攻擊可以通過使用 GetPassword_x64 和Mimikatz收集登錄數據。它還執行來自 McAfee 和 Symantec 的正版可執行文件以加載損壞的 DLL,並可以收集受感染計算機上的文件和目錄列表。 APT32攻擊所使用的任務和技巧太多了,很難一一列舉。
為了獲得對計算機的訪問權限,APT32 攻擊使用社會工程和魚叉式網絡釣魚電子郵件來誘騙受害者啟用 ActiveMime 文件中的宏。如果受害者同意,下載的文件會將幾個損壞的文件從遠程服務器傳輸到受感染的機器中。 APT32 攻擊還可以監控消息和電子郵件,以了解誰中了它的詭計。 APT32 攻擊極難檢測,因為它使用誤導性方法將其活動與受害者的活動混為一談。許多政府和私人公司用來保護他們的計算機和數據的防禦技術很差,這對於像 APT32 集團背後的犯罪分子來說是一個完整的盤子,因為他們可以輕鬆入侵這些機器,收集重要數據並為所欲為。
