知名網絡安全公司FireEye的新研究表明，疑似與越南政府有關的黑客組織“APT32”或“OceanLotus”自2014年以來一直在活躍執行網絡間諜任務，其目標包括有價值的公司、外國政府、持不同政見者和記者。

FireEye分析師尼克·卡爾稱，據他們所知，APT32針對政府和普通民眾展開攻擊，但APT32攻擊全球企業的速度在他們的意料之外。他表示，APT32的能力也讓他們感到驚訝。

APT32主要針對東南亞對企業

FireEye能證實，至少有12家私有部門的組織機構曾遭遇APT32攻擊，其使用的手段是發送精心設計的網絡釣魚電子郵件，其中包含惡意Word附件。最初，被APT32攻擊的大多數企業位于東南亞。

發展中國家正不斷投資大量資源培養黑客能力，以有效收集經濟和政治目標的情報。APT32能通過一套獨特的黑客工具，成功入侵德國、美國和菲律賓的組織機構。

FireEye認為，APT32黑客組織可能與越南政府有關，因為黑客傾向于針對特定企業、組織機構和個人，而這些目標與越南地緣政治利益相關。

過去幾年，APT32攻擊了網絡安全、制造、媒體、銀行、酒店、技術基礎設施和咨詢相關的公司，竊取的資料包括商業機密、機密談話日志和進度計劃。

APT32的活動提醒人們，經濟間諜仍是跨國公司面臨的重要威脅，千萬別抱著僥幸心里，世界上根本不存在數據安全港。

APT32黑客組織有多專業?

作為美國網絡安全巨頭，FireEye能收集專有互聯網傳感器網絡上留下的取證證據，以及客戶端系統上存儲的信息，從而獲取APT32以往行動相關的數據。

卡爾表示，盡管通過海關將網絡監控技術輸入到美國艱難重重，但FireEye能使用大量其它靈活的技術，例如虛擬網絡流量、日志聚合器和Kicker(主機調查平臺(HIP))，HIP被用于實時查看攻擊者的活動。

越南政府官員回應稱FireEye的報告結果“毫無根據”。

但FireEye的情報分析師驚訝地發現，APT32在所有入侵階段均采用了一些先進的技術，其攻擊高價值組織機構時還能隱藏自己。APT32這支精英黑客組織利用公開披露的軟件漏洞專門針對使用熱門操作系統的舊版本設備。他們通常使用網絡釣魚電子郵件實施隱秘網絡間諜活動，以動態將惡意軟件注入主機，大多數情況下，病毒僅隱藏在主機內存，之后定期更新。

此外，APT32至少在一起案例中使用開源工具摧毀受害者設備上留下的取證證據。

FireEye上周日發布博文指出，在受害者環境中建立立足點之后，APT32并未停止行動。經Mandiant公司幾名調查人員揭露，APT32在獲取訪問權后，定期清除選中的事件日志條目，并借助Daniel Bohannon的Invoke-Obfuscation框架混淆基于PowerShell 的工具與殼代碼(Shellcode)加載器。