Logtu
Logtu הוא אחד משישה איומי תוכנות זדוניות שנפרסו כחלק מסדרה של התקפות נגד מוסדות ציבוריים ומפעלים צבאיים במספר מדינות במזרח אירופה, כמו גם באפגניסטן. הקמפיינים המאיימים הללו מיוחסים לקבוצת APT (Advanced Persistent Threat) הנתמכת על ידי סין, שאחריה עוקבים חוקרי אבטחת סייבר כ-TA428. לדברי החוקרים, שחקני האיום הצליחו להתפשר על עשרות מטרות. ההאקרים אף השתלטו על תשתית ה-IT של חלק מקורבנותיהם, והשיגו שליטה במערכות המיועדות לניהול פתרונות אבטחה.
TA428 יצר הודעות דוא"ל מיוחדות לפיתוי חנית המכילים נתונים רלוונטיים לישות הממוקדת. במקרים מסוימים, התוקפים אף כללו מידע שאינו זמין לציבור, המעיד על מחויבותם להפר את הארגון. ייתכן שההאקרים אספו את הנתונים מהתקפות קודמות נגד המטרה או עובדיה, כמו גם מחברות שנפגעו שעובדות בשיתוף פעולה הדוק עם הקורבנות שנבחרו. הודעות הדיוג נושאות מסמכי Microsoft Word עם נשק שיכולים למנף את הפגיעות של CVE-2017-11882 לביצוע שרירותי קוד.
פרטי Logtu
Logtu הוא בין ששת האיומים של תוכנות זדוניות שהורדו על ידי TA428. זהו איום שנצפה בתקיפות קודמות, שלדעתם בוצעו על ידי אותה קבוצת APT. האיום עבר שינויים משמעותיים, כאשר הגרסאות האחרונות נמנעו מזיהוי באמצעות שימוש בייבואים דינמיים ושמות פונקציות מוצפנות XOR. כחלק מהפריסה שלה במכשיר הפרוץ, Logtu משתמשת בטכניקת חלול תהליכים שטוענת ספרייה פגומה לתהליך תוכנה לגיטימי, במקום תהליך מערכתי.
לאחר הפעלה מלאה, Logtu יכול לבצע מגוון רחב של פונקציות פולשניות. זה יכול לכתוב נתונים לקבצים שנבחרו, להסיר קבצים, להשיג ולחלץ מידע על קבצים, להפעיל תוכניות וליצור תהליכים, ליצור צילומי מסך, להשיג רשימה של שירותים רשומים ולהפעיל שירותים שצוינו ועוד. האיום עוסק בעיקר בהשגת סטים ספציפיים של נתונים המצביעים על מטרת ההתקפות הן ריגול סייבר.
