ヒキガエル

APT38（Advanced Persistent Threat）は、CLEANTOADと呼ばれる新しいハッキングツールでニュースに戻りました。このハッキンググループはラザロとも呼ばれ、北朝鮮で活動しています。 APT38グループは、北朝鮮政府の支援を受け、彼らに代わってハッキングキャンペーンを実施していると考えられています。このハッキンググループは非常に高いレベルで活動しており、そのメンバーの一部はFBIに求められています。

静かな操作

APT38のキャンペーンのほとんどは経済的に動機付けられており、ターゲットは銀行やその他のさまざまな金融機関である傾向があります。 APT38グループは、運用時にかなり忍耐強く、時間がかかり、長期間にわたって攻撃を実行することが知られています。これにより、脅迫的な活動がターゲットの監視下に長くとどまるのに役立ちます。多くの場合、APT38グループのキャンペーンは、攻撃を完了するためのさまざまな機能を持つ複数のペイロードを配信します。セカンダリペイロードとして使用されることもあるハッキングツールの1つは、CLEANTOADマルウェアです。

有害な活動の痕跡をきれいにする

APT38ハッキンググループの活動を監視しているとき、サイバーセキュリティの専門家は、グループがBLINDTOADと呼ばれる別のツールを展開した後、CLEANTOAD脅威がしばしば使用されることに注意しました。ただし、CLEANTOADマルウェアがBLINDTOAD脅威との組み合わせでのみ使用されることを意味するわけではありません。攻撃ではさまざまなハッキングツールと連携して使用できるためです。 CLEANTOADマルウェアは、操作後に残る可能性のある危険なアクティビティの痕跡の一部をクリーニングするのに利用されます。この脅威は、高度なシェルコード方式を使用して破損したコードを「notepad.exe」というプロセスに挿入します。この方法により、APT38グループの活動が被害者またはマルウェア対策ツールによって発見される可能性が低くなります。

能力

CLEANTOADマルウェアには次の能力があります。

• Windowsイベントログを消去します。
• 事前定義されたWindowsレジストリキーを変更します。
• 悪意のあるキャンペーンの一部であったファイルを消去または上書きします。
• Windowsサービスを停止または削除します。
• 脅威を実行する日時を設定する設定ファイルをロードします。

APT38ハッキンググループは、多くの場合、スパイ活動と多額の現金の収集を伴う脅迫的な活動に多大な労力を費やすことが知られています。彼らには非常に多くのハッキングツールがあり、CLEANTOADマルウェアのような脅威は、長期間にわたってキャンペーンを実行できるようにし、それにより、より機密性の高いデータを収集し、ターゲットに大きな損害を与えます。