APT32

APT / EstatalG0050
OrigenVietnã
Técnicas (MITRE ATT&CK)78
FuenteMITRE ATT&CK
También conocido como:SeaLotusOceanLotusAPT-C-00Canvas CycloneBISMUTH

Análisis Vexday

APT32, também conhecido como OceanLotus, SeaLotus, BISMUTH e Canvas Cyclone (identificador MITRE ATT&CK G0050), é um grupo de ameaça persistente avançada de origem vietnamita ativo pelo menos desde 2014. O grupo tem como alvos múltiplos setores da iniciativa privada, governos estrangeiros, dissidentes e jornalistas, com forte concentração em países do Sudeste Asiático como Vietnã, Filipinas, Laos e Camboja. Entre seus métodos, destaca-se o uso extensivo de comprometimentos estratégicos de sites para atingir vítimas, com 78 técnicas documentadas no MITRE ATT&CK e 2 CVEs atribuídas ao grupo.

Técnicas (MITRE ATT&CK) 78

Cómo opera el grupo, mapeado por la matriz MITRE ATT&CK y organizado por las fases de un ataque.

Reconocimiento
Gather Victim Identity InformationEmail AddressesSpearphishing Link
Preparación de recursos
DomainsWeb ServicesSocial Media AccountsToolUpload MalwareDrive-by Target
Acceso inicial
Drive-by CompromiseSpearphishing AttachmentSpearphishing Link
Ejecución
Windows Management InstrumentationScheduled TaskCommand and Scripting InterpreterPowerShellWindows Command ShellVisual BasicJavaScriptSoftware Deployment ToolsExploitation for Client ExecutionMalicious LinkMalicious FileService Execution
Persistencia
Office Application StartupWeb ShellWindows ServiceRegistry Run Keys / Startup Folder
Escalada de privilegios
Exploitation for Privilege Escalation
Acceso a credenciales
OS Credential DumpingLSASS MemoryCredentials in Registry
Descubrimiento
Query RegistrySystem Network Configuration DiscoveryRemote System DiscoverySystem Owner/User DiscoveryNetwork Service DiscoverySystem Network Connections DiscoverySystem Information DiscoveryFile and Directory DiscoveryLocal AccountNetwork Share Discovery
Movimiento lateral
SMB/Windows Admin SharesPass the HashPass the TicketLateral Tool Transfer
Recolección
KeyloggingArchive Collected Data
Comando y control
Web ProtocolsMail ProtocolsWeb ServiceIngress Tool TransferNon-Standard Port
Exfiltración
Exfiltration Over C2 ChannelExfiltration Over Unencrypted Non-C2 Protocol
defense-impairment
Modify RegistryLinux and Mac PermissionsClear Windows Event Logs
stealth
Command ObfuscationFileless StorageEncrypted/Encoded FileJunk Code InsertionMasqueradingRename Legitimate UtilitiesMasquerade Task or ServiceMatch Legitimate Resource Name or LocationProcess InjectionFile DeletionTimestompLocal AccountsPubPrnMshtaRegsvr32Rundll32Hidden Files and DirectoriesHidden WindowNTFS File AttributesDLL

Vulnerabilidades explotadas 2

CVEs que este grupo es conocido por explotar, según MITRE ATT&CK. Ordenadas por gravedad real.

CVE-2017-11882HIGHEPSS 100%KEVCVE-2016-7255HIGHEPSS 81%KEV

El grupo APT32 usa técnicas y explota fallas reales. El Pentest Autónomo con IA de TrueHacking simula esos ataques en tu infraestructura y aporta más seguridad a tu aplicación.

Conocer el Pentest Autónomo con IA →