CLEANTOAD
APT38 (Advanced Persistent Threat) är tillbaka i nyheterna med ett nytt hackverktyg som heter CLEANTOAD. Denna hackgrupp är också känd som Lazarus och verkar från Nordkorea. Det tros att APT38-gruppen sponsras av den nordkoreanska regeringen och genomför hackningskampanjer för deras räkning. Denna hackgrupp verkar på en mycket hög nivå, och några av dess medlemmar är efterfrågade av FBI.
Innehållsförteckning
Tyst drift
De flesta av APT38s kampanjer är motiverade ekonomiskt, och deras mål tenderar att vara banker och olika andra finansiella institutioner. APT38-gruppen är ganska tålamod under drift och är känd för att ta sin tid och genomföra attacker under långa perioder. Detta hjälper dess hotande aktivitet att förbli under radarn för sina mål längre. APT38-gruppens kampanjer levererar ofta flera nyttolaster med olika funktioner för att slutföra attacken. Ett av hackverktygen, som ibland används som en sekundär nyttolast, är CLEANTOAD skadlig programvara.
Rensar spår av skadlig aktivitet
När man håller ett öga på aktiviteten hos APT38-hacking-gruppen, har cybersecurity-experter noterat att CLEANTOAD-hotet ofta används efter att gruppen har distribuerat ett annat verktyg som heter BLINDTOAD. Det betyder emellertid inte att CLEANTOAD skadlig programvara bara används i kombination med BLINDTOAD-hotet nödvändigtvis, eftersom attackerna kan använda det i samklang med en mängd olika hackverktyg. CLEANTOAD-skadlig programvara används för rengöring av några spår av osäker aktivitet, som kan finnas kvar efter en operation. Detta hot injicerar sin skadade kod med en avancerad skalkodsmetod i en process som kallas 'notepad.exe.' Denna metod minskar chansen för att APT38-gruppens aktivitet kan upptäckas av dess offer eller ett anti-malware-verktyg.
Förmågor
CLEANTOAD skadlig kod kan:
- Ta bort Windows-händelseloggar.
- Ändra Windows-registernycklar som var fördefinierade.
- Radera eller skriva över filer som har varit en del av den skadliga kampanjen.
- Stoppa eller radera Windows-tjänster.
- Ladda en konfigurationsfil som är ansvarig för att ställa in datum och tid när hotet är tänkt att köras.
APT38-hackinggruppen är känd för att lägga mycket arbete i sina hotande operationer, som ofta involverar spionage och samla in stora summor kontanter. De har ett mycket stort arsenal av hackverktyg, och ett hot som CLEANTOAD skadlig programvara ser till att den kan utföra sina kampanjer under längre perioder, och därmed samla in mer känslig information och orsaka större skador på sina mål.
