Logtu

A Logtu egyike annak a hat rosszindulatú programnak, amelyeket több kelet-európai országban, valamint Afganisztánban közintézmények és katonai vállalatok elleni támadássorozat részeként vezettek be. Ezeket a fenyegető kampányokat egy kínai támogatású APT (Advanced Persistent Threat) csoportnak tulajdonítják, amelyet a kiberbiztonsági kutatók TA428 néven követnek nyomon. A kutatók szerint a fenyegetés szereplői több tucat célpontot tudtak kompromittálni. A hackerek még egyes áldozataik informatikai infrastruktúráját is átvették, átvették az irányítást a biztonsági megoldások kezelésére tervezett rendszerek felett.

A TA428 speciális adathalász e-maileket készített, amelyek a megcélzott entitásra vonatkozó adatokat tartalmazzák. Egyes esetekben a támadók olyan információkat is tartalmaztak, amelyek nem nyilvánosak, jelezve elkötelezettségüket a szervezet feltörése iránt. A hackerek a célpont vagy annak alkalmazottai elleni korábbi támadások adatait, valamint a kiválasztott áldozatokkal szorosan együttműködő kompromittált cégek adatait gyűjthették össze. Az adathalász e-mailek fegyveres Microsoft Word dokumentumokat tartalmaznak, amelyek a CVE-2017-11882 biztonsági rést kihasználva tetszőleges műveleteket hajthatnak végre. kód.

Logtu részletek

A Logtu a hat rosszindulatú fenyegetés között van, amelyeket a TA428 elvetett. Ez egy olyan fenyegetés, amelyet a korábbi támadásoknál figyeltek meg, amelyeket feltételezhetően ugyanaz az APT csoport követett el. A fenyegetés jelentős változásokon ment keresztül, a legújabb verziók elkerülték a dinamikus importálás és az XOR titkosított függvénynevek használatával történő észlelést. A feltört eszközön történő telepítés részeként a Logtu egy folyamatürítési technikát alkalmaz, amely a rendszer helyett a sérült könyvtárat egy legitim szoftverfolyamatba tölti be.

A teljes aktiválás után a Logtu a tolakodó funkciók széles skáláját tudja végrehajtani. Adatokat írhat kiválasztott fájlokhoz, fájlokat távolíthat el, fájlinformációkat szerezhet be és kiszűrhet, programokat indíthat és folyamatokat hozhat létre, képernyőképeket készíthet, lekérheti a regisztrált szolgáltatások listáját, és elindíthat meghatározott szolgáltatásokat stb. A fenyegetés főként konkrét adatkészletek megszerzésével kapcsolatos, amelyek a támadások kiberkémkedés céljára mutatnak.