Quem é o APT32?

O APT32 (também conhecido como Ocean Lotus, APT-C-00, SeaLotus e Cobalt Kitty) é um agente de ameaça cibernética militar vietnamita ativo desde 2014 (ou antes) que tem como alvo várias entidades consideradas hostis aos interesses nacionalistas vietnamitas. O APT32 tem como alvo empresas estrangeiras que fazem negócios no Vietnã, críticos do governo vietnamita, ativistas de direitos humanos vietnamitas locais e ex-patriotas e governos estrangeiros rivais do Sudeste Asiático, especialmente das Filipinas e do Camboja. Os ataques do APT32 geralmente coincidem com importantes contratos e negociações legais entre empresas estrangeiras e o governo vietnamita.

Uma linha do tempo da atividade do Apt32 de alto perfil

2014: Inicia campanhas cibernéticas visando uma empresa de segurança vietnamita, empresas estrangeiras no Vietnã e expatriados vietnamitas

2016: Tem como alvo empresas de tecnologia filipinas e um desenvolvedor de hospitalidade chinês no Vietnã

2017: Tem como alvo cidadãos vietnamitas na Austrália, o governo filipino, uma empresa de segurança vietnamita local e uma corporação alemã que opera legalmente no Vietnã

2018-2020: Tem como alvo os ativistas de direitos humanos vietnamitas, tanto locais quanto estrangeiros

2020: Operações do APT32 vinculadas a uma empresa vietnamita chamada CyberOne Group

Como funcionam os ataques APT32

Os ataques do APT32 utilizam malware de coleção completo e distinto, porém menos sofisticado, e ferramentas disponíveis comercialmente para conduzir campanhas de espionagem cibernética. Os ataques do APT32 começam por meio de campanhas de spear-phishing altamente personalizadas que incluem arquivos anexados com extensões duplas, como .doc.exe, projetadas para enganar as vítimas, fazendo-as pensar que estão abrindo um documento do Office quando, na verdade, estão executando a carga útil do executável portátil (PE) do APT32. Durante sua longa história, o APT32 também desenvolveu kits de ferramentas de spyware personalizados capazes de infectar e roubar informações de dispositivos baseados em macOS, Android e Windows.

Táticas, técnicas e procedimentos comuns do APT32 (TT&P)

Hackear sites de adversários para coletar informações e rastrear sua base de usuários
Malware personalizado para macOS que utiliza a técnica de extensão dupla ou macros maliciosas do Office escritas na linguagem de programação Perl
Uso da rede social Facebook para disseminar malware por meio de ataques de engenharia social
Uso da ferramenta legítima de teste de penetração Cobalt Strike como spyware de comando e controle (C2)

Cepas de malware exclusivas ou intimamente associadas ao APT32

METALJACK: um malware de primeiro estágio relativamente novo, exclusivo do APT32, usado pela primeira vez em 2020, capaz de iniciar a cadeia de infecção e carregar o malware de segundo estágio

Denis (também conhecido como DenisRAT): descoberto pela primeira vez em 2017, o Denis pode capturar pressionamentos de teclas, roubar credenciais de login, fazer capturas de tela, roubar informações confidenciais, fazer download de malware adicional e mover-se lateralmente para infectar outros sistemas

Kerrdown: exclusivo do APT32 e em uso desde 2018, o Kerrdown é um módulo de malware de download usado para instalar spyware

Windshield: um trojan de acesso remoto (RAT) backdoor simples baseado em TCP que interage com o sistema de arquivos do host da vítima e exfiltra informações do sistema, além de interromper os processos do sistema host

Komprogo: um backdoor RAT exclusivo do APT32 que oferece suporte à execução de comandos remotos, exfiltração de informações do sistema host e execução de consultas do Windows Management Instrumentation (WMI)

Soundbite: um RAT completo usado exclusivamente pelo APT32 que pode carregar arquivos e executar comandos em hosts infectados usando o protocolo DNS para operações C2

Sinais de um ataque do APT32

Endereços IP, domínios e assinaturas de hash de carga útil associados a ataques anteriores do APT32 podem bloquear o acesso a hosts de carga útil e servidores C2 conhecidos do APT32 e ajudar os produtos de segurança de TI defensivos a identificar possíveis ataques do APT. No entanto, os ataques do APT32 empregam táticas de engenharia social para induzir as vítimas a abrir arquivos maliciosos ou acessar links maliciosos. Esses ataques geralmente usam arquivos postados em formatos compactados, como arquivos zip que se descompactam em documentos do Office ou arquivos executáveis de extensão dupla e links encurtados de URL projetados para mascarar o URL de destino real.

Como evitar um ataque do APT32

A maneira mais eficaz de evitar um ataque do APT32 é a conscientização vigilante sobre os ataques de engenharia social que o induzem a abrir arquivos de fontes não confiáveis. Se você estiver envolvido em atividades que envolvam o governo vietnamita, deve ter um cuidado especial com qualquer documento ou link publicado em fóruns públicos de redes sociais. Para entidades corporativas, tanto o treinamento de conscientização do usuário para educar a equipe interna sobre os procedimentos adequados para avaliar e manipular documentos quanto um programa completo de segurança cibernética baseado em Defesa em Profundidade são a melhor maneira de evitar um ataque bem-sucedido do APT32.

O CylanceGATEWAY evita ataques de engenharia social

O Zero Trust Network Access (ZTNA) pode evitar ataques de engenharia social. O ^{CylanceGATEWAY™} protege sua rede antes que um agente de ameaça possa obter acesso e começar a se mover lateralmente por ela.

SAIBA MAIS

Mais recursos