APT32

APT / EstatalG0050
OrigemVietnã
Técnicas (MITRE ATT&CK)78
FonteMITRE ATT&CK
Também conhecido como:SeaLotusOceanLotusAPT-C-00Canvas CycloneBISMUTH

Análise Vexday

APT32, também conhecido como OceanLotus, SeaLotus, BISMUTH e Canvas Cyclone (identificador MITRE ATT&CK G0050), é um grupo de ameaça persistente avançada de origem vietnamita ativo pelo menos desde 2014. O grupo tem como alvos múltiplos setores da iniciativa privada, governos estrangeiros, dissidentes e jornalistas, com forte concentração em países do Sudeste Asiático como Vietnã, Filipinas, Laos e Camboja. Entre seus métodos, destaca-se o uso extensivo de comprometimentos estratégicos de sites para atingir vítimas, com 78 técnicas documentadas no MITRE ATT&CK e 2 CVEs atribuídas ao grupo.

Técnicas (MITRE ATT&CK) 78

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Reconhecimento
Gather Victim Identity InformationEmail AddressesSpearphishing Link
Preparação de recursos
DomainsWeb ServicesSocial Media AccountsToolUpload MalwareDrive-by Target
Acesso inicial
Drive-by CompromiseSpearphishing AttachmentSpearphishing Link
Execução
Windows Management InstrumentationScheduled TaskCommand and Scripting InterpreterPowerShellWindows Command ShellVisual BasicJavaScriptSoftware Deployment ToolsExploitation for Client ExecutionMalicious LinkMalicious FileService Execution
Persistência
Office Application StartupWeb ShellWindows ServiceRegistry Run Keys / Startup Folder
Escalada de privilégio
Exploitation for Privilege Escalation
Acesso a credenciais
OS Credential DumpingLSASS MemoryCredentials in Registry
Descoberta
Query RegistrySystem Network Configuration DiscoveryRemote System DiscoverySystem Owner/User DiscoveryNetwork Service DiscoverySystem Network Connections DiscoverySystem Information DiscoveryFile and Directory DiscoveryLocal AccountNetwork Share Discovery
Movimento lateral
SMB/Windows Admin SharesPass the HashPass the TicketLateral Tool Transfer
Coleta
KeyloggingArchive Collected Data
Comando e controle
Web ProtocolsMail ProtocolsWeb ServiceIngress Tool TransferNon-Standard Port
Exfiltração
Exfiltration Over C2 ChannelExfiltration Over Unencrypted Non-C2 Protocol
defense-impairment
Modify RegistryLinux and Mac PermissionsClear Windows Event Logs
stealth
Command ObfuscationFileless StorageEncrypted/Encoded FileJunk Code InsertionMasqueradingRename Legitimate UtilitiesMasquerade Task or ServiceMatch Legitimate Resource Name or LocationProcess InjectionFile DeletionTimestompLocal AccountsPubPrnMshtaRegsvr32Rundll32Hidden Files and DirectoriesHidden WindowNTFS File AttributesDLL

Vulnerabilidades exploradas 2

CVEs que este grupo é conhecido por explorar, segundo o MITRE ATT&CK. Ordenadas por gravidade real.

CVE-2017-11882HIGHEPSS 100%KEVCVE-2016-7255HIGHEPSS 81%KEV

O grupo APT32 usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →