CLEANTOAD
Das APT38 (Advanced Persistent Threat) ist mit einem neuen Hacking-Tool namens CLEANTOAD wieder in den Nachrichten. Diese Hacking-Gruppe ist auch als Lazarus bekannt und operiert von Nordkorea aus. Es wird angenommen, dass die APT38-Gruppe von der nordkoreanischen Regierung gesponsert wird und in deren Auftrag Hacking-Kampagnen durchführt. Diese Hacking-Gruppe arbeitet auf sehr hohem Niveau, und einige ihrer Mitglieder werden vom FBI gesucht.
Inhaltsverzeichnis
Leiser Betrieb
Die meisten Kampagnen des APT38 sind finanziell motiviert, und ihre Ziele sind in der Regel Banken und verschiedene andere Finanzinstitute. Die APT38-Gruppe ist im Betrieb eher geduldig und nimmt sich bekanntermaßen Zeit und führt Angriffe über lange Zeiträume durch. Dies hilft seiner bedrohlichen Aktivität, länger unter dem Radar ihrer Ziele zu bleiben. Häufig liefern die Kampagnen der APT38-Gruppe mehrere Nutzdaten mit unterschiedlichen Fähigkeiten, um den Angriff abzuschließen. Eines der Hacking-Tools, das manchmal als sekundäre Nutzlast verwendet wird, ist die Malware CLEANTOAD.
Beseitigt Spuren schädlicher Aktivitäten
Cybersicherheitsexperten haben festgestellt, dass die CLEANTOAD-Bedrohung häufig verwendet wird, nachdem die Gruppe ein anderes Tool namens BLINDTOAD bereitgestellt hat, um die Aktivität der APT38-Hacking-Gruppe im Auge zu behalten. Dies bedeutet jedoch nicht, dass die CLEANTOAD-Malware nur in Kombination mit der BLINDTOAD-Bedrohung verwendet werden muss, da die Angriffe sie zusammen mit einer Vielzahl von Hacking-Tools verwenden können. Die CLEANTOAD-Malware wird verwendet, um einige der Spuren unsicherer Aktivitäten zu beseitigen, die nach einer Operation zurückbleiben können. Diese Bedrohung fügt den beschädigten Code mithilfe einer erweiterten Shellcode-Methode in einen Prozess namens "notepad.exe" ein. Diese Methode verringert die Wahrscheinlichkeit, dass die Aktivität der APT38-Gruppe von den Opfern oder einem Anti-Malware-Tool entdeckt wird.
Fähigkeiten
Die CLEANTOAD-Malware kann:
- Löschen Sie die Windows-Ereignisprotokolle.
- Ändern Sie die vordefinierten Windows-Registrierungsschlüssel.
- Löschen oder Überschreiben von Dateien, die Teil der böswilligen Kampagne waren.
- Beenden oder löschen Sie Windows-Dienste.
- Laden Sie eine Konfigurationsdatei, in der Datum und Uhrzeit festgelegt werden, wann die Bedrohung ausgeführt werden soll.
Es ist bekannt, dass die Hacking-Gruppe APT38 große Arbeit in ihre Bedrohungsoperationen steckt, bei denen es häufig um Spionage und das Sammeln großer Geldsummen geht. Sie verfügen über ein sehr großes Arsenal an Hacking-Tools, und eine Bedrohung wie die CLEANTOAD-Malware stellt sicher, dass Kampagnen über einen längeren Zeitraum ausgeführt werden können, sodass sensiblere Daten erfasst werden und die Ziele stärker beschädigt werden.
