CLEANTOAD
APT38 (Advanced Persistent Threat) vratio se u vijesti s novim alatom za hakiranje pod nazivom CLEANTOAD. Ova hakerska skupina također je poznata kao Lazarus i djeluje iz Sjeverne Koreje. Vjeruje se da grupu APT38 sponzorira vlada Sjeverne Koreje i u njihovo ime provodi hakerske kampanje. Ova hakerska grupa djeluje na vrlo visokoj razini, a neke od njenih članova traži FBI.
Sadržaj
Tihe operacije
Većina kampanja APT38 financijski je motivirana, a ciljane su banke i razne druge financijske institucije. Grupa APT38 prilično je strpljiva tokom rada i poznato je da uzima svoje vrijeme i izvodi napade tijekom dužih razdoblja. To pomaže njezinoj prijetećoj aktivnosti da dulje ostane ispod radara svojih ciljeva. Često kampanje APT38 grupe isporučuju nekoliko korisnih tereta različitih mogućnosti za dovršavanje napada. Jedan od alata za sjeckanje, koji se ponekad koristi kao pomoćni teret, je zlonamjerni softver CLEANTOAD.
Čisti tragove štetnih aktivnosti
Držeći pozornost na aktivnostima hakerske skupine APT38, stručnjaci za cyber-sigurnost primijetili su da se prijetnja CLEANTOAD često koristi nakon što je skupina primijenila drugi alat nazvan BLINDTOAD. To, međutim, ne znači da se zlonamjerni softver CLEANTOAD koristi nužno samo u kombinaciji s prijetnjom BLINDTOAD-a, jer ga napadi mogu uporedo s raznim alatima za hakiranje. Zlonamjerni softver CLEANTOAD koristi se za čišćenje nekih tragova nesigurne aktivnosti, koji mogu ostati nakon operacije. Ova prijetnja ubrizgava oštećeni kod pomoću napredne metode shellcode u proces zvan 'notepad.exe.' Ova metoda smanjuje šanse aktivnosti APT38 skupine da ih primijete žrtve ili alat za suzbijanje zlonamjernog softvera.
sposobnosti
Zlonamjerni softver CLEANTOAD može:
- Obrišite evidencije događaja Windows.
- Izmijenite Windows registra ključeve koji su unaprijed definirani.
- Obrišite ili prepisite datoteke koje su dio zlonamjerne kampanje.
- Zaustavljanje ili brisanje Windows usluga.
- Umetnite konfiguracijsku datoteku koja je odgovorna za postavljanje datuma i vremena kada se prijetnja namjerava pokrenuti.
Poznato je da je hakerska skupina APT38 uložila veliki posao u svoje prijeteće operacije, koje često uključuju špijunažu i prikupljanje velikih iznosa novca. Imaju vrlo veliki arsenal alata za hakiranje, a prijetnja poput zloćinskog softvera CLEANTOAD osigurava da je u mogućnosti provoditi svoje kampanje u dužim razdobljima, na taj način prikupljajući osjetljivije podatke i uzrokujući veću štetu svojim ciljevima.
