清潔蟾蜍
APT38(高級持久性威脅)借助一種名為CLEANTOAD的新黑客工具再次成為新聞。該黑客組織也稱為Lazarus,在朝鮮開展業務。相信APT38小組是由朝鮮政府贊助的,並代表他們進行黑客攻擊活動。這個黑客組織的運作水平很高,FBI招募了一些成員。
目錄
安靜的操作
APT38的大多數活動都是出於財務動機,其目標往往是銀行和其他各種金融機構。 APT38小組在操作時相當耐心,眾所周知會花費時間並長時間進行攻擊。這有助於其威脅活動在目標的監視下保持更長的時間。通常,APT38小組的活動會提供幾種具有不同功能的有效載荷來完成攻擊。 CLEANTOAD惡意軟件是黑客工具之一,有時被用作輔助負載。
清除有害活動的痕跡
在密切關注APT38黑客組織的活動時,網絡安全專家指出,在該組織部署了另一個名為BLINDTOAD的工具之後,經常使用CLEANTOAD威脅。但是,這並不意味著CLEANTOAD惡意軟件僅必須與BLINDTOAD威脅結合使用,因為攻擊可以與各種黑客工具一起使用它。 CLEANTOAD惡意軟件用於清除一些不安全活動的痕跡,這些痕跡可能在操作後留下。這種威脅使用高級Shellcode方法將其損壞的代碼注入到名為“ notepad.exe”的進程中。這種方法減少了APT38小組的活動被其受害者或反惡意軟件工具發現的機會。
能力
CLEANTOAD惡意軟件能夠:
- 清除Windows事件日誌。
- 更改預定義的Windows註冊表項。
- 清除或覆蓋屬於惡意活動的文件。
- 停止或刪除Windows服務。
- 加載配置文件,該文件負責設置威脅運行的日期和時間。
眾所周知,APT38黑客組織在其威脅性操作中付出了巨大的努力,這些操作通常涉及間諜活動和收集大量現金。他們擁有大量的黑客工具,並且像CLEANTOAD惡意軟件這樣的威脅確保了它能夠在更長的時間內執行其活動,從而收集更多的敏感數據並對其目標造成更大的破壞。