CLEANTOAD
O APT38 (Ameaça persistente avançada) está de volta às notícias com uma nova ferramenta de hacking chamada CLEANTOAD. Este grupo de hackers também é conhecido como Lázaro e opera na Coréia do Norte. Acredita-se que o grupo APT38 seja patrocinado pelo governo norte-coreano e realize campanhas de hackers em seu nome. Esse grupo de hackers opera em um nível muito alto e alguns de seus membros são procurados pelo FBI.
Índice
Operações Silenciosas
A maioria das campanhas do APT38 é motivada financeiramente e seus objetivos tendem a ser bancos e várias outras instituições financeiras. O grupo APT38 é bastante paciente ao operar e é conhecido por levar tempo e realizar ataques por longos períodos. Isso ajuda sua atividade ameaçadora a permanecer sob o radar de seus alvos por mais tempo. Freqüentemente, as campanhas do grupo APT38 oferecem várias cargas úteis com diferentes recursos para concluir o ataque. Uma das ferramentas de hacking, que às vezes é usada como carga útil secundária, é o malware CLEANTOAD.
Limpa Vestígios de Atividade Prejudicial
Ao ficar de olho na atividade do grupo de hackers APT38, os especialistas em segurança cibernética observaram que a ameaça CLEANTOAD geralmente é usada após o grupo ter implantado outra ferramenta chamada BLINDTOAD. Isso, no entanto, não significa que o malware CLEANTOAD seja usado apenas em combinação com a ameaça BLINDTOAD necessariamente, pois os ataques podem usá-lo em uníssono com uma variedade de ferramentas de hackers. O malware CLEANTOAD é utilizado na limpeza de alguns dos vestígios de atividade não segura, que podem ser deixados após uma operação. Essa ameaça injeta seu código corrompido usando um método avançado de shellcode em um processo chamado 'notepad.exe'. Esse método reduz as chances da atividade do grupo APT38 ser detectada por suas vítimas ou por uma ferramenta antimalware.
Recursos
O malware CLEANTOAD é capaz de:
- Limpar os logs de eventos do Windows.
- Alterar as chaves de registro do Windows predefinidas.
- Limpar ou substitua arquivos que fizeram parte da campanha maliciosa.
- Parar ou exclua os Serviços do Windows.
- Carregar um arquivo de configuração responsável por definir a data e a hora em que a ameaça deve ser executada.
O grupo de hackers APT38 é conhecido por colocar um grande trabalho em suas operações ameaçadoras, que geralmente envolvem espionagem e coleta de grandes somas de dinheiro. Eles têm um arsenal muito grande de ferramentas de hackers, e uma ameaça como o malware CLEANTOAD garante que ele seja capaz de realizar suas campanhas por períodos mais longos, coletando dados mais sensíveis e causando maiores danos aos seus alvos.
