CLEANTOAD
Az APT38 (haladó tartós fenyegetés) visszatért a hírekbe egy új, CLEANTOAD nevű hackerekkel. Ez a hackerező csoport Lazarus néven is ismert, és Észak-Koreából működik. Úgy gondolják, hogy az APT38 csoportot az észak-koreai kormány szponzorálja, és a nevükben hackelési kampányokat folytatnak. Ez a hackelési csoport nagyon magas szinten működik, és néhány tagját az FBI akarja.
Tartalomjegyzék
Csendes működés
Az APT38 kampányainak legtöbbje pénzügyi szempontból motivált, és célpontjaik általában bankok és más pénzügyi intézmények. Az APT38 csoport meglehetősen türelmes a műtét során, és ismert, hogy időt vesz igénybe és hosszú időn át támadásokat hajt végre. Ez elősegíti, hogy fenyegető tevékenysége hosszabb ideig maradjon célpontjaik alatt. Az APT38 csoport kampányai gyakran különböző, különféle képességekkel bíró hasznos tehercsomagokat szállítanak a támadás befejezéséhez. Az egyik feltörési eszköz, amelyet néha másodlagos hasznos teherként is használnak, a CLEANTOAD rosszindulatú program.
Tisztítja a káros tevékenység nyomát
Az APT38 hackeléscsoport tevékenységének figyelemmel kísérésekor a kiberbiztonsági szakértők megjegyezték, hogy a CLEANTOAD fenyegetést gyakran akkor használják, amikor a csoport egy másik eszközt telepített, a BLINDTOAD néven. Ez azonban nem jelenti azt, hogy a CLEANTOAD rosszindulatú szoftvert kizárólag a BLINDTOAD fenyegetéssel együtt használják, mivel a támadások egyidejűleg használhatják különféle hackerekkel. A CLEANTOAD rosszindulatú programot a nem biztonságos tevékenység néhány, a műtét után esetlegesen maradt nyomainak megtisztításához használják. Ez a fenyegetés a sérült kódot fejlett shellcode módszerrel fecskendezi be a „notepad.exe” nevű folyamatba. Ez a módszer csökkenti annak esélyét, hogy az APT38 csoport tevékenységét az áldozatok észrevegyék, vagy egy rosszindulatú programok ellen.
képességek
A CLEANTOAD malware képes:
- Törölje ki a Windows eseménynaplóit.
- Az előre definiált Windows rendszerleíró kulcsok módosítása.
- Törölje vagy felülírja a rosszindulatú kampány részét képező fájlokat.
- A Windows szolgáltatások leállítása vagy törlése.
- Töltsön be egy konfigurációs fájlt, amely felelős a dátum és az idő beállításáért, amikor a fenyegetés futni szándékozik.
Az APT38 hackelési csoportról ismert, hogy nagy munkát végez fenyegető műveleteikben, amelyek gyakran kémkedés és nagy összegű készpénz beszedésével járnak. Nagyon nagy a hackereszközök arsenalja, és egy olyan veszély, mint a CLEANTOAD rosszindulatú program, biztosítja, hogy képes hosszabb időn keresztül kampányokat végrehajtani, így érzékenyebb adatokat gyűjtsön, és nagyobb károkat okozjon a céljai számára.
