CLEANTOAD
APT38 (Advanced Persistent Threat) возвращается в новостях с новым хакерским инструментом CLEANTOAD. Эта хакерская группа также известна как Lazarus и работает из Северной Кореи. Считается, что группа APT38 спонсируется правительством Северной Кореи и проводит хакерские кампании от их имени. Эта хакерская группа работает на очень высоком уровне, и некоторые из ее членов разыскиваются ФБР.
Оглавление
Тихие операции
Большинство кампаний APT38 мотивированы в финансовом отношении, и их целями, как правило, являются банки и различные другие финансовые учреждения. Группа APT38 достаточно терпелива при работе и, как известно, требует времени и проводит атаки в течение длительных периодов времени. Это помогает его угрожающей деятельности дольше оставаться под радаром своих целей. Часто кампании группы APT38 предоставляют несколько полезных нагрузок с различными возможностями для завершения атаки. Одним из инструментов взлома, который иногда используется в качестве вторичной полезной нагрузки, является вредоносная программа CLEANTOAD.
Очищает следы вредной деятельности
Наблюдая за деятельностью хакерской группы APT38, эксперты по кибербезопасности отмечают, что угроза CLEANTOAD часто используется после того, как группа развернула другой инструмент под названием BLINDTOAD. Это, однако, не означает, что вредоносная программа CLEANTOAD используется только в сочетании с угрозой BLINDTOAD, поскольку атаки могут использовать ее в унисон с различными хакерскими инструментами. Вредоносная программа CLEANTOAD используется для очистки некоторых следов небезопасных действий, которые могут остаться после операции. Эта угроза внедряет свой поврежденный код с помощью расширенного метода шелл-кода в процесс, называемый «notepad.exe». Этот метод снижает вероятность обнаружения действий группы APT38 ее жертвами или средством защиты от вредоносных программ.
возможности
Вредоносная программа CLEANTOAD способна:
- Протрите журналы событий Windows.
- Изменить ключи реестра Windows, которые были предварительно определены.
- Сотрите или перезапишите файлы, которые были частью вредоносной кампании.
- Остановите или удалите службы Windows.
- Загрузите файл конфигурации, который отвечает за установку даты и времени, когда угроза должна быть запущена.
Известно, что хакерская группа APT38 проделала огромную работу в своих угрожающих операциях, которые часто связаны со шпионажем и сбором больших сумм наличности. У них очень большой арсенал хакерских инструментов, а такая угроза, как вредоносная программа CLEANTOAD, гарантирует, что она сможет проводить свои кампании в течение более длительных периодов, собирая таким образом более конфиденциальные данные и нанося больший урон своим целям.
