清洁蟾蜍
APT38(高级持久性威胁)借助一种名为CLEANTOAD的新黑客工具再次成为新闻。该黑客组织也称为Lazarus,在朝鲜开展业务。相信APT38小组是由朝鲜政府赞助的,并代表他们进行黑客攻击活动。这个黑客组织的运作水平很高,FBI招募了一些成员。
目录
安静的操作
APT38的大多数活动都是出于财务动机,其目标往往是银行和其他各种金融机构。 APT38小组在操作时相当耐心,众所周知会花费时间并长时间进行攻击。这有助于其威胁活动在目标的监视下保持更长的时间。通常,APT38小组的活动会提供几种具有不同功能的有效载荷来完成攻击。 CLEANTOAD恶意软件是黑客工具之一,有时被用作辅助负载。
清除有害活动的痕迹
在密切关注APT38黑客组织的活动时,网络安全专家指出,在该组织部署了另一个名为BLINDTOAD的工具之后,经常使用CLEANTOAD威胁。但是,这并不意味着CLEANTOAD恶意软件仅必须与BLINDTOAD威胁结合使用,因为攻击可以与各种黑客工具一起使用它。 CLEANTOAD恶意软件用于清除一些不安全活动的痕迹,这些痕迹可能在操作后留下。这种威胁使用高级Shellcode方法将其损坏的代码注入到名为“ notepad.exe”的进程中。这种方法减少了APT38小组的活动被其受害者或反恶意软件工具发现的机会。
能力
CLEANTOAD恶意软件能够:
- 清除Windows事件日志。
- 更改预定义的Windows注册表项。
- 清除或覆盖属于恶意活动的文件。
- 停止或删除Windows服务。
- 加载配置文件,该文件负责设置威胁运行的日期和时间。
众所周知,APT38黑客组织在其威胁性操作中付出了巨大的努力,这些操作通常涉及间谍活动和收集大量现金。他们拥有大量的黑客工具,并且像CLEANTOAD恶意软件这样的威胁确保了它能够在更长的时间内执行其活动,从而收集更多的敏感数据并对其目标造成更大的破坏。
