CLEANTOAD
APT38 (Advanced Persistent Threat) er tilbake i nyhetene med et nytt hackingverktøy kalt CLEANTOAD. Denne hackinggruppen er også kjent som Lazarus og opererer fra Nord-Korea. Det antas at APT38-gruppen er sponset av den nordkoreanske regjeringen og gjennomfører hackingkampanjer på deres vegne. Denne hacking-gruppen opererer på et veldig høyt nivå, og noen av medlemmene er ønsket av FBI.
Innholdsfortegnelse
Rolige operasjoner
De fleste av APT38s kampanjer er økonomisk motivert, og deres mål er ofte banker og andre finansinstitusjoner. APT38-gruppen er ganske tålmodig når de opererer og er kjent for å ta sin tid og utføre angrep over lengre perioder. Dette hjelper den truende aktiviteten til å forbli under radaren for målene lenger. Ofte leverer APT38-gruppens kampanjer flere nyttelaster med forskjellige muligheter for å fullføre angrepet. Et av hackingverktøyene, som noen ganger brukes som en sekundær nyttelast, er CLEANTOAD skadelig programvare.
Renser spor etter skadelig aktivitet
Når man holder øye med aktiviteten til hackinggruppen APT38, har eksperter innen cybersikkerhet bemerket at CLEANTOAD-trusselen ofte brukes etter at gruppen har distribuert et annet verktøy kalt BLINDTOAD. Det betyr imidlertid ikke at CLEANTOAD skadelig programvare bare brukes i kombinasjon med BLINDTOAD-trusselen nødvendigvis, ettersom angrepene kan bruke den unisont med en rekke hackingverktøy. CLEANTOAD-skadelig programvare brukes til å rense noen av sporene etter usikker aktivitet, som kan være igjen etter en operasjon. Denne trusselen injiserer den ødelagte koden ved å bruke en avansert skallkodemetode i en prosess som kalles 'notepad.exe.' Denne metoden reduserer sjansene for at APT38-gruppens aktivitet blir oppdaget av ofrene eller et anti-malware-verktøy.
Capabilities
CLEANTOAD malware er i stand til:
- Tørk ut hendelseslogger i Windows.
- Endre Windows-registernøkler som var forhåndsdefinert.
- Tørk ut eller overskriv filer som har vært en del av den ondsinnede kampanjen.
- Stopp eller slett Windows Services.
- Last inn en konfigurasjonsfil som er ansvarlig for å stille inn dato og klokkeslett når trusselen er ment å løpe.
Hackinggruppen APT38 er kjent for å legge ned mye arbeid i sine truende operasjoner, som ofte innebærer spionasje og innsamling av store summer. De har et veldig stort arsenal av hackingverktøy, og en trussel som CLEANTOAD malware sørger for at den er i stand til å gjennomføre kampanjene sine over lengre perioder, og dermed samle inn mer sensitive data og forårsake større skade på målene.
