CLEANTOAD

L'APT38 (Advanced Persistent Threat) est de retour dans les nouvelles avec un nouvel outil de piratage appelé CLEANTOAD. Ce groupe de piratage est également connu sous le nom de Lazarus et opère depuis la Corée du Nord. On pense que le groupe APT38 est parrainé par le gouvernement nord-coréen et mène des campagnes de piratage informatique en leur nom. Ce groupe de piratage informatique opère à un très haut niveau et certains de ses membres sont recherchés par le FBI.

Opérations silencieuses

La plupart des campagnes de l'APT38 sont motivées financièrement et visent généralement les banques et diverses autres institutions financières. Le groupe APT38 est plutôt patient lorsqu’il opère et il est connu pour prendre son temps et mener des attaques sur de longues périodes. Cela aide son activité menaçante à rester sous le radar de leurs cibles plus longtemps. Souvent, les campagnes du groupe APT38 fournissent plusieurs charges utiles dotées de capacités différentes pour mener à bien l'attaque. Le malware CLEANTOAD est l’un des outils de piratage, parfois utilisé comme charge secondaire.

Nettoie les traces d'activité nuisible

En surveillant l'activité du groupe de piratage APT38, les experts en cybersécurité ont constaté que la menace CLEANTOAD est souvent utilisée après que le groupe a déployé un autre outil appelé BLINDTOAD. Cela ne signifie toutefois pas que le logiciel malveillant CLEANTOAD est uniquement utilisé en association avec la menace BLINDTOAD, car les attaques peuvent l’utiliser conjointement avec divers outils de piratage. Le logiciel malveillant CLEANTOAD est utilisé pour nettoyer certaines traces d'activités non sécurisées, qui peuvent subsister après une opération. Cette menace injecte son code corrompu à l'aide d'une méthode de shellcode avancée dans un processus appelé "notepad.exe". Cette méthode réduit les risques que l'activité du groupe APT38 soit détectée par ses victimes ou par un outil anti-programme malveillant.

Les capacités

Le malware CLEANTOAD est capable de:

  • Effacer les journaux des événements Windows.
  • Modifiez les clés de registre Windows prédéfinies.
  • Supprimez ou écrasez les fichiers qui faisaient partie de la campagne malveillante.
  • Arrêtez ou supprimez les services Windows.
  • Chargez un fichier de configuration chargé de définir la date et l'heure auxquelles la menace doit s'exécuter.

Le groupe de piratage APT38 est connu pour avoir mis beaucoup d'efforts dans ses opérations menaçantes, qui impliquent souvent l'espionnage et la collecte de grosses sommes d'argent. Ils disposent d’un arsenal très vaste d’outils de piratage et une menace comme le malware CLEANTOAD lui permet de mener ses campagnes plus longtemps, ce qui permet de collecter plus de données sensibles et d’endommager davantage ses cibles.

Tendance

Le plus regardé

Chargement...