Logtu

Logtu on üks kuuest pahavaraohust, mis on kasutusele võetud osana rünnakute seeriast avalike institutsioonide ja sõjaväeettevõtete vastu mitmes Ida-Euroopa riigis, aga ka Afganistanis. Need ähvardavad kampaaniad omistatakse Hiina toetatud APT (Advanced Persistent Threat) rühmale, mida küberjulgeolekuteadlased jälgivad kui TA428. Teadlaste sõnul on ohus osalejad suutnud kompromiteerida kümneid sihtmärke. Häkkerid võtsid isegi üle mõne oma ohvri IT-infrastruktuuri, saades kontrolli turvalahenduste haldamiseks loodud süsteemide üle.

TA428 koostas spetsiaalsed andmepüügimeilid, mis sisaldavad sihtüksuse jaoks olulisi andmeid. Mõnel juhul lisasid ründajad isegi teavet, mis pole avalikult kättesaadav, mis viitab nende pühendumusele organisatsiooni rikkuda. Häkkerid võisid koguda andmeid varasemate rünnakute kohta sihtmärgi või selle töötajate vastu, aga ka ohustatud ettevõtetest, kes tegid tihedat koostööd valitud ohvritega. Andmepüügimeilid sisaldavad relvastatud Microsoft Wordi dokumente, mis võivad kasutada CVE-2017-11882 haavatavust meelevaldsete meetmete käivitamiseks. kood.

Logtu üksikasjad

Logtu on kuue pahavaraohu hulgas, mille TA428 on kõrvaldanud. See on oht, mida täheldati varasemate rünnakute puhul, mille korraldas arvatavasti sama APT rühmitus. Oht on läbi teinud olulisi muudatusi, kuna viimased versioonid väldivad tuvastamist dünaamilise impordi ja XOR-i krüptitud funktsiooninimede kasutamise kaudu. Osana rikutud seadmes juurutamisel kasutab Logtu protsesside õõnestustehnikat, mis laadib rikutud teegi seaduslikusse tarkvaraprotsessi, mitte süsteemi.

Pärast täielikku aktiveerimist saab Logtu täita paljusid pealetükkivaid funktsioone. See võib kirjutada andmeid valitud failidesse, eemaldada faile, hankida ja välja filtreerida failiteavet, käivitada programme ja luua protsesse, teha ekraanipilte, hankida registreeritud teenuste loendit ja käivitada teatud teenuseid ja palju muud. Oht on peamiselt seotud konkreetsete andmekogumite hankimisega, mis viitavad rünnakute eesmärgile küberspionaažile.