Logtu
Logtu هو واحد من ستة تهديدات للبرامج الضارة تم نشرها كجزء من سلسلة من الهجمات ضد المؤسسات العامة والمؤسسات العسكرية في العديد من دول أوروبا الشرقية ، بالإضافة إلى أفغانستان. تُنسب هذه الحملات التهديدية إلى مجموعة APT (التهديد المستمر المتقدم) المدعومة من الصين والتي تتبعها باحثي الأمن السيبراني باسم TA428. وفقًا للباحثين ، تمكنت الجهات الفاعلة في التهديد من اختراق عشرات الأهداف. حتى أن المتسللين استولوا على البنية التحتية لتكنولوجيا المعلومات لبعض ضحاياهم ، واكتسبوا السيطرة على الأنظمة المصممة لإدارة الحلول الأمنية.
صاغ TA428 رسائل بريد إلكتروني خاصة لإغراء التصيد بالرمح تحتوي على بيانات ذات صلة بالكيان المستهدف. في بعض الحالات ، قام المهاجمون بتضمين معلومات غير متاحة للجمهور ، مما يشير إلى التزامهم بخرق المنظمة. قد يكون المتسللون قد جمعوا البيانات من الهجمات السابقة ضد الهدف أو موظفيه ، وكذلك من الشركات المخترقة التي تعمل عن كثب مع الضحايا المختارين. تحمل رسائل البريد الإلكتروني المخادعة مستندات Microsoft Word مسلحة يمكنها الاستفادة من ثغرة CVE-2017-11882 لتنفيذ تعسفي الشفرة.
تفاصيل Logtu
يعد Logtu من بين ستة تهديدات للبرامج الضارة أسقطتها TA428. إنه تهديد لوحظ في هجمات سابقة يُعتقد أن نفس مجموعة APT نفذتها. خضع التهديد لتغييرات كبيرة ، حيث تجنبت الإصدارات الحديثة الكشف عن طريق استخدام عمليات الاستيراد الديناميكية وأسماء الوظائف المشفرة XOR. كجزء من نشره على الجهاز الذي تم اختراقه ، يستخدم Logtu تقنية تجويف العملية التي تقوم بتحميل مكتبة تالفة إلى عملية برمجية شرعية ، بدلاً من عملية نظام.
بمجرد تفعيلها بالكامل ، يمكن أن يؤدي Logtu مجموعة واسعة من الوظائف التدخلية. يمكنه كتابة البيانات إلى الملفات المختارة ، وإزالة الملفات ، والحصول على معلومات الملفات وسحبها ، وتشغيل البرامج وإنشاء العمليات ، وعمل لقطات شاشة ، والحصول على قائمة بالخدمات المسجلة ، وإطلاق خدمات محددة والمزيد. يهتم التهديد بشكل أساسي بالحصول على مجموعات محددة من البيانات التي تشير إلى أن الهدف من الهجمات هو التجسس الإلكتروني.
