LIMPIEZA

El APT38 (Amenaza persistente avanzada) está de vuelta en las noticias con una nueva herramienta de piratería llamada CLEANTOAD. Este grupo de piratería también se conoce como Lazarus y opera desde Corea del Norte. Se cree que el grupo APT38 está patrocinado por el gobierno de Corea del Norte y lleva a cabo campañas de piratería en su nombre. Este grupo de piratería opera a un nivel muy alto, y algunos de sus miembros son buscados por el FBI.

Operaciones silenciosas

La mayoría de las campañas de APT38 están motivadas financieramente, y sus objetivos tienden a ser bancos y otras instituciones financieras. El grupo APT38 es bastante paciente cuando opera y se sabe que se toma su tiempo y realiza ataques durante largos períodos. Esto ayuda a que su actividad amenazante permanezca bajo el radar de sus objetivos durante más tiempo. A menudo, las campañas del grupo APT38 entregan varias cargas útiles con diferentes capacidades para completar el ataque. Una de las herramientas de piratería, que a veces se utiliza como carga secundaria, es el malware CLEANTOAD.

Limpia rastros de actividad nociva

Al vigilar la actividad del grupo de piratería APT38, los expertos en ciberseguridad han notado que la amenaza CLEANTOAD a menudo se usa después de que el grupo ha implementado otra herramienta llamada BLINDTOAD. Sin embargo, eso no significa que el malware CLEANTOAD solo se use en combinación con la amenaza BLINDTOAD necesariamente, ya que los ataques pueden usarlo al unísono con una variedad de herramientas de piratería. El malware CLEANTOAD se utiliza para limpiar algunos rastros de actividad insegura, que pueden quedar después de una operación. Esta amenaza inyecta su código dañado utilizando un método avanzado de shellcode en un proceso llamado 'notepad.exe'. Este método reduce las posibilidades de que las víctimas o una herramienta anti-malware detecten la actividad del grupo APT38.

Capacidades

El malware CLEANTOAD es capaz de:

• Borre los registros de eventos de Windows.
• Modifique las claves de registro de Windows que fueron predefinidas
• Borre o sobrescriba los archivos que han sido parte de la campaña maliciosa.
• Detenga o elimine los servicios de Windows.
• Cargue un archivo de configuración que sea responsable de establecer la fecha y la hora en que se ejecutará la amenaza.

Se sabe que el grupo de pirateo APT38 realiza un gran trabajo en sus operaciones amenazantes, que a menudo implican espionaje y recaudación de grandes sumas de dinero. Tienen un arsenal muy grande de herramientas de piratería, y una amenaza como el malware CLEANTOAD se asegura de que pueda llevar a cabo sus campañas durante períodos más largos, por lo tanto, recopilar datos más sensibles y causar un mayor daño a sus objetivos.