Logtu

До Mezo през Backdoors, Advanced Persistent Threat (APT)г

Превод на:

Logtu е една от шестте заплахи за зловреден софтуер, внедрени като част от поредица от атаки срещу публични институции и военни предприятия в множество източноевропейски страни, както и в Афганистан. Тези заплашителни кампании се приписват на подкрепяна от Китай APT (Advanced Persistent Threat) група, проследявана от изследователи по киберсигурност като TA428. Според изследователите, участниците в заплахата са успели да компрометират десетки цели. Хакерите дори превзеха ИТ инфраструктурата на някои от своите жертви, като получиха контрол над системи, предназначени да управляват решения за сигурност.

TA428 създаде специални имейли за примамка за фишинг, съдържащи данни, свързани с целевия обект. В някои случаи нападателите дори включват информация, която не е публично достъпна, което показва техния ангажимент да пробият организацията. Хакерите може да са събрали данните от предишни атаки срещу целта или нейните служители, както и от компрометирани компании, работещи в тясно сътрудничество с избраните жертви. Фишинг имейлите носят въоръжени документи на Microsoft Word, които могат да използват уязвимостта CVE-2017-11882 за изпълнение на произволни действия код.

Подробности за Logtu

Logtu е сред шестте заплахи за зловреден софтуер, отхвърлени от TA428. Това е заплаха, наблюдавана при предишни атаки, за които се смята, че са извършени от същата група APT. Заплахата претърпя значителни промени, като последните версии избягват откриването чрез използване на динамично импортиране и XOR криптирани имена на функции. Като част от внедряването си на пробитото устройство, Logtu използва техника за изпъкване на процес, която зарежда повредена библиотека в легитимен софтуерен процес, вместо системен.

След като бъде напълно активиран, Logtu може да изпълнява широк набор от натрапчиви функции. Той може да записва данни в избрани файлове, да премахва файлове, да получава и ексфилтрира информация за файлове, да стартира програми и да създава процеси, да прави екранни снимки, да получава списък с регистрирани услуги и да стартира определени услуги и др. Заплахата е свързана главно с получаването на специфични набори от данни, сочещи към целта на атаките да бъде кибершпионаж.