CLEANTOAD
APT38 (Advanced Persistent Threat) on palannut uutisiin uudella hakkerointityökalulla nimeltään CLEANTOAD. Tämä hakkerointiryhmä tunnetaan myös nimellä Lazarus ja toimii Pohjois-Koreasta. Uskotaan, että Pohjois-Korean hallitus tukee APT38-ryhmää ja että se ryhtyy hakkerointi kampanjoita heidän puolestaan. Tämä hakkerointiryhmä toimii erittäin korkealla tasolla, ja jotkut sen jäsenistä ovat FBI: n halukkaita.
Sisällysluettelo
Hiljainen toiminta
Suurin osa APT38: n kampanjoista on motivoituneita taloudellisesti, ja niiden kohteina ovat yleensä pankit ja monet muut rahoituslaitokset. APT38-ryhmä on melko kärsivällinen leikkauksen aikana, ja sen tiedetään vievän aikansa ja suorittavan iskuja pitkiä aikoja. Tämä auttaa sen uhkaavaa toimintaa pysymään kauemmin tavoitteidensa tutkan alla. Usein APT38-ryhmän kampanjat toimittavat useita hyötykuormia, joilla on erilaiset kyvyt hyökkäyksen suorittamiseksi. Yksi hakkerointityökaluista, joita joskus käytetään toissijaisena hyötykuormana, on CLEANTOAD-haittaohjelma.
Puhdistaa haitallisen toiminnan jäljet
Tarkkaillessaan APT38-hakkerointiryhmän toimintaa kyberturvallisuusasiantuntijat ovat todenneet, että CLEANTOAD-uhkaa käytetään usein sen jälkeen, kun ryhmä on ottanut käyttöön toisen työkalun nimeltä BLINDTOAD. Tämä ei kuitenkaan tarkoita, että CLEANTOAD-haittaohjelmaa käytetään vain välttämättä yhdessä BLINDTOAD-uhan kanssa, koska hyökkäykset voivat käyttää sitä yhdessä monien hakkerointityökalujen kanssa. CLEANTOAD-haittaohjelmaa käytetään puhdistamaan joitain vaarallisen toiminnan jälkiä, jotka voivat jäädä leikkauksen jälkeen. Tämä uhka ruiskuttaa korruptoituneen koodinsa edistyneellä viivakoodimenetelmällä ”notepad.exe” -prosessiin. Tämä menetelmä vähentää mahdollisuuksia APT38-ryhmän toimintaan, jonka uhrit voivat havaita tai haittaohjelmien torjuntatyökalu.
kyvyt
CLEANTOAD-haittaohjelma pystyy:
- Pyyhi Windows-tapahtumalokit.
- Alter Windows-rekisteriavaimet, jotka oli ennalta määritetty.
- Pyyhi tai korvaa tiedostoja, jotka ovat olleet haitallisen kampanjan aiheita.
- Pysäytä tai poista Windows Services.
- Lataa asetustiedosto, joka vastaa päivämäärän ja kellonajan asettamisesta, kun uhan on tarkoitus tapahtua.
APT38-hakkerointiryhmän tiedetään tekevän suurta työtä uhkaaviin operaatioihinsa, joihin liittyy usein vakoilua ja suurien käteisvarojen keräämistä. Heillä on erittäin suuri hakkerointityökalujen arsenaali, ja CLEANTOAD-haittaohjelmien kaltainen uhka varmistaa, että se pystyy toteuttamaan kampanjoitaan pidempään, kerätä siten arkaluonteisempaa tietoa ja aiheuttaa enemmän vahinkoa kohteilleen.