CLEANTOAD
Το APT38 (Advanced Persistent Threat) επιστρέφει στις ειδήσεις με ένα νέο εργαλείο hacking που ονομάζεται CLEANTOAD. Αυτή η ομάδα hacking είναι επίσης γνωστή ως Lazarus και λειτουργεί από τη Βόρεια Κορέα. Πιστεύεται ότι η ομάδα APT38 υποστηρίζεται από την κυβέρνηση της Βόρειας Κορέας και εκτελεί εκστρατείες πειρατείας για λογαριασμό τους. Αυτή η ομάδα hacking λειτουργεί σε πολύ υψηλό επίπεδο και μερικά από τα μέλη της αναζητούνται από το FBI.
Πίνακας περιεχομένων
Ήσυχη λειτουργία
Οι περισσότερες από τις εκστρατείες του APT38 είναι οικονομικά παρακινημένες και οι στόχοι τους τείνουν να είναι τράπεζες και διάφορα άλλα χρηματοπιστωτικά ιδρύματα. Η ομάδα APT38 είναι μάλλον ασθενής όταν λειτουργεί και είναι γνωστό ότι αφαιρεί χρόνο και εκτελεί επιθέσεις για μεγάλα χρονικά διαστήματα. Αυτό βοηθά την απειλητική δραστηριότητα της να παραμείνει κάτω από το ραντάρ των στόχων τους για μεγαλύτερο χρονικό διάστημα. Συχνά, οι καμπάνιες της ομάδας APT38 παρέχουν αρκετούς ωφέλιμους φόρτους με διαφορετικές δυνατότητες για να ολοκληρώσουν την επίθεση. Ένα από τα εργαλεία hacking, το οποίο μερικές φορές χρησιμοποιείται ως δευτερεύον ωφέλιμο φορτίο, είναι το malware CLEANTOAD.
Καθαρίζει τα ίχνη της επιβλαβούς δραστηριότητας
Όταν παρακολουθούμε τη δραστηριότητα της ομάδας hacking APT38, οι ειδικοί στον κυβερνοχώρο έχουν σημειώσει ότι η απειλή CLEANTOAD χρησιμοποιείται συχνά αφού η ομάδα έχει αναπτύξει ένα άλλο εργαλείο που ονομάζεται BLINDTOAD. Αυτό όμως δεν σημαίνει ότι το κακόβουλο λογισμικό CLEANTOAD χρησιμοποιείται μόνο σε συνδυασμό με την απειλή BLINDTOAD, καθώς οι επιθέσεις μπορούν να το χρησιμοποιήσουν σε συνδυασμό με διάφορα εργαλεία hacking. Το κακόβουλο πρόγραμμα CLEANTOAD χρησιμοποιείται για τον καθαρισμό ορισμένων σημείων μη ασφαλούς δραστηριότητας, τα οποία μπορεί να μείνουν μετά από μια ενέργεια. Αυτή η απειλή εισάγει τον αλλοιωμένο κωδικό της χρησιμοποιώντας μια προηγμένη μέθοδο shellcode σε μια διαδικασία που ονομάζεται 'notepad.exe'. Αυτή η μέθοδος μειώνει τις πιθανότητες να εντοπιστεί η δραστηριότητα της ομάδας APT38 από τα θύματά της ή ένα εργαλείο κατά του κακόβουλου λογισμικού.
Δυνατότητες
Το κακόβουλο πρόγραμμα CLEANTOAD είναι ικανό:
- Σκουπίστε τα αρχεία καταγραφής συμβάντων των Windows.
- Αλλάξτε τα κλειδιά μητρώου των Windows που είχαν προκαθοριστεί.
- Διαγράψτε ή αντικαταστήστε αρχεία που αποτελούν μέρος της κακόβουλης καμπάνιας.
- Διακοπή ή διαγραφή των Υπηρεσιών των Windows.
- Τοποθετήστε ένα αρχείο διαμόρφωσης που είναι υπεύθυνο για τον ορισμό ημερομηνίας και ώρας όταν πρόκειται να εκτελεστεί η απειλή.
Η ομάδα hacking APT38 είναι γνωστό ότι δουλεύει πολύ καλά στις απειλητικές επιχειρήσεις, οι οποίες συχνά περιλαμβάνουν κατασκοπεία και συλλογή μεγάλων ποσών μετρητών. Έχουν ένα πολύ μεγάλο οπλοστάσιο εργαλείων hacking και μια απειλή όπως το κακόβουλο λογισμικό CLEANTOAD εξασφαλίζει ότι είναι σε θέση να εκτελεί τις εκστρατείες του σε μεγαλύτερες χρονικές περιόδους, συλλέγοντας έτσι πιο ευαίσθητα δεδομένα και προκαλώντας μεγαλύτερη ζημιά στους στόχους του.
