APT32

APT32, también reconocido como OceanLotus Group, no es nuevo en el escenario de amenazas. Sus ataques comenzaron a ser informados por investigadores de seguridad desde 2014. Los principales objetivos de los ataques APT32 son entidades gubernamentales de varios países, periodistas, industrias de propiedad privada y personas en contra de la política oficial. Hay ataques APT32 informados en Camboya, Filipinas, Vietnam y Laos, lo que apunta a que el Grupo APT32 tiene su sede en Vietnam. Para evitar la detección, el ataque APT32 incluye código inútil para engañar a los programas de seguridad. Para intercambiar información con su servidor de comando y control, APT32 usa el puerto 80. El ataque APT32 puede recopilar datos de inicio de sesión usando GetPassword_x64 y Mimikatz . También ejecuta ejecutables genuinos de McAfee y Symantec para cargar una DLL dañada y puede recopilar una lista de archivos y directorios en la computadora infectada. Las tareas y trucos utilizados por los ataques APT32 son tantos que no es fácil enumerarlos.

Para obtener acceso a una computadora, el ataque APT32 usa ingeniería social y correos electrónicos de phishing para engañar a sus víctimas para que habiliten macros de archivos ActiveMime. Si las víctimas están de acuerdo, el archivo descargado transferirá varios archivos corruptos desde servidores remotos a la máquina infectada. El ataque APT32 también puede monitorear los mensajes y correos electrónicos para saber quién ha caído en sus trampas. Los ataques APT32 son extremadamente difíciles de detectar porque utiliza métodos engañosos para mezclar sus actividades con las de las víctimas. Las malas técnicas defensivas utilizadas por numerosas corporaciones gubernamentales y privadas para proteger sus computadoras y datos son un plato completo para delincuentes como los que están detrás del Grupo APT32, ya que pueden invadir estas máquinas fácilmente, recopilar datos esenciales y hacer lo que quieran con ellos.