APT32 是谁?
APT32(又名 Ocean Lotus、APT-C-00、SeaLotus 和 Cobalt Kitty)是一个越南网络军事威胁行为体,自 2014 年(或之前)开始活跃,目标是被认为敌视越南民族主义利益的各种实体。APT32 的攻击目标包括在越南开展业务的外国公司、越南政府批评者、当地和前越南人权活动家,以及竞争对手东南亚外国政府,尤其是菲律宾和柬埔寨。APT32 的攻击往往与外国公司和越南政府之间的重要合同和法律谈判同时发生。
备受瞩目的 Apt32 活动年表
2014: 开始针对一家越南安全公司、在越南的外国公司和越南前侨开展网络活动
2016: 目标是菲律宾科技公司和越南的一家中国酒店开发商
2017: 目标是在澳大利亚的越南公民、菲律宾政府、一家越南当地安保公司和一家在越南合法运营的德国公司
2018-2020: 针对越南国内外的人权活动家
2020: APT32 行动与一家名为 CyberOne Group 的越南公司有关
APT32 攻击如何运作
APT32 攻击利用功能齐全、独特但不太复杂的恶意软件收集和市售工具开展网络间谍活动。APT32 的攻击始于高度定制的鱼叉式网络钓鱼活动,其中包括带有.doc.exe等双重扩展名的附加文件,目的是诱骗受害者以为他们正在打开 Office 文档,而实际上他们正在执行 APT32 可移植可执行文件 (PE) 有效载荷。在其漫长的历史中,APT32 还开发了定制的间谍软件工具包,能够从基于 macOS、Android 和 Windows 的设备上感染和窃取信息。
APT32 通用战术、技术和程序 (TT&P)
- 黑客攻击对手网站,收集信息并追踪其用户群
- 利用双重扩展技术或 Perl 编程语言编写的恶意 Office 宏的定制 macOS 恶意软件
- 利用 Facebook 社交网络通过社交工程攻击传播恶意软件
- 将合法的渗透测试工具 Cobalt Strike 用作指挥与控制 (C2) 间谍软件
与 APT32 独有或密切相关的恶意软件菌株
METALJACK: APT32 独有的相对较新的第一阶段恶意软件,于 2020 年首次使用,能够启动感染链并加载第二阶段恶意软件
Denis(又名 DenisRAT):2017 年首次被发现,Denis 可捕获击键、窃取登录凭证、截图、窃取敏感信息、下载其他恶意软件,并横向移动以感染其他系统
Kerrdown:APT32 独有,自 2018 年开始使用,Kerrdown 是一种下载恶意软件模块,用于安装间谍软件
Windshield: 一个简单的基于 TCP 的后门远程访问木马(RAT),可与受害主机的文件系统交互,外泄系统信息,并停止主机系统进程
Komprogo:APT32 独有的后门 RAT,支持远程命令执行、主机系统信息外泄和执行 Windows Management Instrumentation (WMI) 查询。
Soundbite:APT32 专门使用的全功能 RAT,可使用 DNS 协议上传文件并在受感染主机上执行命令,进行 C2 操作
APT32 攻击的迹象
与以往 APT32 攻击相关联的 IP 地址、域和有效载荷哈希签名可以阻止对已知 APT32 有效载荷主机和 C2 服务器的访问,并帮助 IT 防御性 IT 安全产品识别潜在的 APT 攻击。然而,APT32 攻击采用社会工程学策略,诱使受害者打开恶意文件或访问恶意链接。这些攻击通常使用压缩格式的发布文件,如解压为 Office 文档或双扩展名可执行文件的 zip 压缩文件,以及旨在掩盖实际目标 URL 的 URL 缩短链接。
如何防范 APT32 攻击
防止 APT32 攻击的最有效方法是警惕社交工程攻击,这些攻击会诱使您打开来自不可信来源的文件。如果您从事的活动涉及越南政府,则应特别小心在公共社交网络论坛上发布的任何文件或链接。对于企业实体来说,防止 APT32 攻击成功的最佳方法是开展用户意识培训,让内部员工了解评估和处理文件的正确程序,以及实施全面的基于深度防御的网络安全计划。
零信任网络访问(ZTNA)可防止社交工程攻击。CylanceGATEWAY™可在威胁行为者获得访问权限并开始横向移动之前确保网络安全。
