Logtu
Logtu یکی از شش تهدید بدافزاری است که به عنوان بخشی از یک سری حملات علیه مؤسسات عمومی و شرکت های نظامی در چندین کشور اروپای شرقی و همچنین افغانستان به کار گرفته شده است. این کمپینهای تهدیدآمیز به یک گروه APT (تهدید پایدار پیشرفته) تحت حمایت چین نسبت داده میشود که توسط محققان امنیت سایبری با نام TA428 ردیابی میشود. به گفته محققان، عوامل تهدید توانسته اند ده ها هدف را به خطر بیاندازند. هکرها حتی زیرساخت های فناوری اطلاعات برخی از قربانیان خود را تحت کنترل گرفتند و کنترل سیستم های طراحی شده برای مدیریت راه حل های امنیتی را به دست گرفتند.
TA428 ایمیلهای فریبنده مخصوص فیشینگ نیزهای ایجاد کرد که حاوی دادههای مربوط به نهاد مورد نظر بود. در برخی موارد، مهاجمان حتی اطلاعاتی را شامل میشوند که در دسترس عموم نیست، که نشان دهنده تعهد آنها به نقض سازمان است. هکرها ممکن است دادههای حملات قبلی علیه هدف یا کارکنان آن و همچنین از شرکتهای در معرض خطر را جمعآوری کرده باشند که از نزدیک با قربانیان منتخب کار میکنند. کد
جزئیات Logtu
Logtu یکی از شش تهدید بدافزاری است که توسط TA428 حذف شده است. این تهدیدی است که در حملات قبلی مشاهده شده است که گمان می رود توسط همان گروه APT انجام شده باشد. این تهدید دستخوش تغییرات قابل توجهی شده است و نسخه های اخیر از شناسایی با استفاده از واردات پویا و نام توابع رمزگذاری شده XOR جلوگیری می کنند. Logtu به عنوان بخشی از استقرار خود در دستگاه نقض شده، از یک تکنیک حفره فرآیند استفاده می کند که یک کتابخانه خراب را به جای یک فرآیند سیستمی در یک فرآیند نرم افزاری قانونی بارگذاری می کند.
پس از فعال شدن کامل، Logtu می تواند طیف گسترده ای از عملکردهای نفوذی را انجام دهد. میتواند دادهها را در فایلهای انتخابی بنویسد، فایلها را حذف کند، اطلاعات فایل را بهدست آورد و استخراج کند، برنامهها را راهاندازی کند و فرآیندها را ایجاد کند، اسکرینشات بسازد، فهرستی از خدمات ثبتشده را دریافت کند و خدمات مشخصشده را راهاندازی کند و موارد دیگر. این تهدید عمدتاً مربوط به دستیابی به مجموعه های خاصی از داده ها است که به هدف حملات، جاسوسی سایبری اشاره می کند.
