CLEANTOAD
De APT38 (Advanced Persistent Threat) is terug in het nieuws met een nieuwe hacktool genaamd CLEANTOAD. Deze hackgroep staat ook bekend als Lazarus en opereert vanuit Noord-Korea. Er wordt aangenomen dat de APT38-groep wordt gesponsord door de Noord-Koreaanse overheid en namens hen hackcampagnes uitvoert. Deze hackgroep werkt op een zeer hoog niveau en sommige leden worden gezocht door de FBI.
Inhoudsopgave
Stille operaties
De meeste campagnes van de APT38 zijn financieel gemotiveerd en hun doelen zijn meestal banken en verschillende andere financiële instellingen. De APT38-groep is tamelijk geduldig tijdens het werken en staat erom bekend dat het zijn tijd neemt en gedurende lange periodes aanvallen uitvoert. Dit helpt zijn bedreigende activiteit langer onder de radar van hun doelen te blijven. Vaak leveren de campagnes van de APT38-groep verschillende payloads met verschillende mogelijkheden om de aanval te voltooien. Een van de hacktools, die soms als secundaire lading wordt gebruikt, is de CLEANTOAD-malware.
Reinigt sporen van schadelijke activiteit
Bij het in de gaten houden van de activiteit van de hackgroep van APT38 hebben cybersecurity-experts opgemerkt dat de CLEANTOAD-dreiging vaak wordt gebruikt nadat de groep een ander hulpmiddel met de naam BLINDTOAD heeft ingezet. Dat betekent echter niet dat de CLEANTOAD-malware noodzakelijkerwijs alleen in combinatie met de BLINDTOAD-dreiging wordt gebruikt, omdat de aanvallen het kunnen gebruiken in combinatie met verschillende hacktools. De CLEANTOAD-malware wordt gebruikt bij het opschonen van enkele sporen van onveilige activiteit, die na een operatie achterblijven. Deze bedreiging injecteert de beschadigde code met behulp van een geavanceerde shellcodemethode in een proces met de naam 'notepad.exe'. Deze methode vermindert de kans dat de activiteit van de APT38-groep wordt opgemerkt door de slachtoffers of een anti-malwaretool.
mogelijkheden
De CLEANTOAD-malware kan:
- Wis Windows Event Logs.
- Wijzig vooraf gedefinieerde Windows-registersleutels.
- Wis of overschrijf bestanden die deel uitmaken van de kwaadaardige campagne.
- Stop of verwijder Windows Services.
- Laad een configuratiebestand dat verantwoordelijk is voor het instellen van de datum en tijd waarop de dreiging moet worden uitgevoerd.
Van de hackgroep van APT38 is bekend dat ze goed werk leveren aan hun bedreigende operaties, waarbij vaak spionage en het verzamelen van grote sommen geld betrokken zijn. Ze hebben een zeer groot arsenaal aan hacktools en een bedreiging zoals de CLEANTOAD-malware zorgt ervoor dat het in staat is om campagnes over langere periodes uit te voeren, waardoor meer gevoelige gegevens worden verzameld en de doelen groter worden beschadigd.
