APT32

APT32, auch bekannt als OceanLotus Group, ist kein neues Bedrohungsszenario. Seine Angriffe wurden seit 2014 von Sicherheitsforschern gemeldet. Die Hauptziele der APT32-Angriffe sind Regierungsbehörden verschiedener Länder, Journalisten, private Unternehmen und Personen, die gegen die offizielle Politik verstoßen. Es wurden APT32-Angriffe aus Kambodscha, den Philippinen, Vietnam und Laos gemeldet, was auf die APT32-Gruppe mit Sitz in Vietnam hindeutet. Um eine Erkennung zu vermeiden, enthält der APT32-Angriff nutzlosen Code, sodass Sicherheitsprogramme getäuscht werden können. Um Informationen mit seinem Command-and-Control-Server auszutauschen, verwendet APT32 Port 80. Der APT32-Angriff kann Anmeldedaten sammeln, indem er GetPassword_x64 und Mimikatz verwendet . Es führt auch echte ausführbare Dateien von McAfee und Symantec aus, um eine beschädigte DLL zu laden, und kann eine Liste der Dateien und Verzeichnisse auf dem infizierten Computer sammeln. Die Aufgaben und Tricks, die von den APT32-Angriffen verwendet werden, sind so zahlreich, dass es nicht einfach ist, sie aufzuzählen.

Um Zugriff auf einen Computer zu erhalten, verwendet der APT32-Angriff Social Engineering und Spear-Phishing-E-Mails, um seine Opfer dazu zu bringen, Makros aus ActiveMime-Dateien zu aktivieren. Wenn die Opfer zustimmen, überträgt die heruntergeladene Datei mehrere beschädigte Dateien von Remote-Servern auf den infizierten Computer. Der APT32-Angriff kann auch die Nachrichten und E-Mails überwachen, um zu wissen, wer auf seine Tricks hereingefallen ist. Die APT32-Angriffe sind extrem schwer zu erkennen, da sie irreführende Methoden verwenden, um ihre Aktivitäten mit den Aktivitäten der Opfer zu vermischen. Die dürftigen Verteidigungstechniken, die von zahlreichen staatlichen und privaten Unternehmen zum Schutz ihrer Computer und Daten eingesetzt werden, sind für Kriminelle wie die hinter der APT32-Gruppe ein Volltreffer, da sie leicht in diese Maschinen eindringen, wichtige Daten sammeln und damit tun können, was sie wollen.