Logtu

Logtu er en af seks malware-trusler, der er implementeret som en del af en række angreb mod offentlige institutioner og militære virksomheder i flere østeuropæiske lande, såvel som Afghanistan. Disse truende kampagner tilskrives en kinesisk-støttet APT-gruppe (Advanced Persistent Threat) sporet af cybersikkerhedsforskere som TA428. Ifølge forskerne har trusselsaktørerne været i stand til at kompromittere snesevis af mål. Hackerne overtog endda IT-infrastrukturen for nogle af deres ofre og fik kontrol over systemer designet til at administrere sikkerhedsløsninger.

TA428 lavede specielle spyd-phishing-e-mails, der indeholdt data, der var relevante for den målrettede enhed. I nogle tilfælde inkluderede angriberne endda information, der ikke er offentligt tilgængelig, hvilket indikerer deres forpligtelse til at bryde organisationen. Hackerne kan have indsamlet data fra tidligere angreb mod målet eller dets ansatte, såvel som fra kompromitterede virksomheder, der arbejder tæt sammen med de udvalgte ofre. Phishing-e-mails indeholder våbenbaserede Microsoft Word-dokumenter, der kan udnytte CVE-2017-11882-sårbarheden til at udføre vilkårlig kode.

Logtu detaljer

Logtu er blandt de seks malware-trusler, som TA428 har droppet. Det er en trussel, der er observeret i tidligere angreb, der menes at være udført af den samme APT-gruppe. Truslen har gennemgået betydelige ændringer, hvor nyere versioner undgår opdagelse via brug af dynamiske importer og XOR-krypterede funktionsnavne. Som en del af sin implementering på den brudte enhed bruger Logtu en procesudhulningsteknik, der indlæser et beskadiget bibliotek i en legitim softwareproces i stedet for en systemproces.

Når den er fuldt aktiveret, kan Logtu udføre en bred vifte af påtrængende funktioner. Det kan skrive data til valgte filer, fjerne filer, indhente og eksfiltrere filoplysninger, starte programmer og oprette processer, lave skærmbilleder, få en liste over registrerede tjenester og starte specificerede tjenester og mere. Truslen drejer sig hovedsageligt om at skaffe specifikke datasæt, der peger mod målet med angrebene, som er cyberspionage.