El grupo APT32 también conocido como OceanLotus Group ha estado activo desde el 2013, según los expertos se trata de un grupo de piratería patrocinada por el Estado.
Por lo menos desde el 2014, los expertos de FireEye han observado APT32 que se focaliza en empresas extranjeras con interés en la fabricación de Vietnam, los productos de consumo, y sectores de la hostelería.APT32 también se dirige a las empresas periféricas de seguridad de la red y la infraestructura tecnológica, y empresas de seguridad que pueden tener conexiones con los inversores extranjeros.
“APT32 aprovecha una serie única de malware con todas las funciones, en conjunción con las herramientas disponibles en el mercado, para llevar a cabo operaciones específicas que están alineados con los intereses del Estado vietnamitas.” Segun el análisis publicado por FireEye.
FireEye destacó que en la actualidad, es imposible vincular precisamente el grupo que el gobierno vietnamita, aunque la información recogida por los hackers sería de muy poca utilidad para cualquier otro estado.
“El gobierno de Vietnam no permite ninguna forma de ataques informáticos contra las organizaciones o individuos”, dijo la portavoz del Ministerio de Asuntos Exteriores Le Thi Thu Hang. “Todos los ataques cibernéticos o amenazas a la seguridad cibernética, deben ser condenados y castigados severamente de acuerdo con las normas y leyes.”
Los hackers APT32 utilizan correos electrónicos de phishing que contienen un archivo adjunto en armas. Es interesante observar que el agarre no es un documento de Word, en cambio, es un archivo que contiene un archivo ActiveMime OLE que contiene macros maliciosos.
Otro elemento de la innovación de esta campaña es que el atacante siguió el éxito de los correos electrónicos de phishing, el uso de análisis de correo electrónico basados en la nube legítimos. Los archivos adjuntos de phishing contienen un etiquetas de imagen HTML.
“Cuando se abre un documento con esta característica, Microsoft Word intentará descargar la imagen externa, incluso si las macros fueron desactivadas. En todos los señuelos de phishing analizados, no existían las imágenes externas.”Lee el análisis. “Consultores MANDIANT sospechan que APT32 estaba monitoreando registros web para rastrear la dirección IP pública que se utiliza para solicitar imágenes remotas.
Cuando se combina con el software de seguimiento de correo electrónico, APT32 fue capaz de seguir de cerca la entrega de suplantación de identidad, la tasa de éxito, y llevar a cabo un análisis más detallado sobre las organizaciones de víctimas mientras se monitoriza el interés de las empresas de seguridad “.
Las macros incrustadas crean dos tareas programadas para ganar la persistencia de las puertas traseras utilizados por los piratas informáticos.
La primera tarea ejecuta la aplicación Squiblydoo para permitir la descarga de una puerta trasera de la infraestructura APT32. La segunda lleva a una puerta trasera secundaria entregado como un script de PowerShell de múltiples etapas configurado para comunicarse con los dominios blog.panggin [.] Org, share.codehao [.] Red, y yii.yiihao126 [.] Red.
APT32 amenaza limpiar regularmente las entradas del registro de eventos con el fin de ocultar sus operaciones, también muy ofuscado sus herramientas basadas en PowerShell y cargadoras shellcode con el marco Invoke-ofuscación de Daniel Bohannon.
El arsenal de APT32 incluye una suite personalizado de puertas traseras, tales como parabrisas, Komprogo, Soundbite, Phoreal, y Beacon.
FireEye advierte del creciente número de actores del Estado-nación mediante operaciones cibernéticos para reunir información de inteligencia.
