APT32

OceanLotus Groupとしても認識されているAPT32は、脅威のシナリオでは新しいものではありません。その攻撃は2014年からセキュリティ研究者によって報告され始めました。APT32攻撃の主な標的は、さまざまな国の政府機関、ジャーナリスト、民間企業、および公的政策に反対する人々です。カンボジア、フィリピン、ベトナム、ラオスでAPT32攻撃が報告されており、ベトナムに拠点を置くAPT32グループを指しています。検出を回避するために、APT32攻撃には役に立たないコードが含まれているため、セキュリティプログラムがだまされます。コマンドおよび制御サーバーと情報を交換するために、APT32はポート80を使用します。APT32攻撃は、GetPassword_x64およびMimikatzを使用してログインデータを収集できます。また、McAfeeとSymantecから本物の実行可能ファイルを実行して、破損したDLLをロードし、感染したコンピューター上のファイルとディレクトリのリストを収集できます。 APT32攻撃で使用されるタスクとトリックは非常に多いため、それらを列挙するのは簡単ではありません。

APT32攻撃は、コンピューターにアクセスするために、ソーシャルエンジニアリングとスピアフィッシングメールを使用して、被害者をだまし、ActiveMimeファイルからマクロを有効にします。被害者が同意した場合、ダウンロードされたファイルは、いくつかの破損したファイルをリモートサーバーから感染したマシンに転送します。 APT32攻撃は、メッセージと電子メールを監視して、だれがそのトリックに陥ったかを知ることもできます。 APT32攻撃は、誤解を招く方法を使用して被害者の活動と混合するため、検出が非常に困難です。多くの政府機関や民間企業がコンピューターやデータを保護するために使用している不十分な防御技術は、APT32グループの背後にいるような犯罪者にとって、これらのマシンに簡単に侵入し、重要なデータを収集し、必要なことを何でもできるため、完全なプレートです。