Logtu

Logtu è una delle sei minacce malware implementate come parte di una serie di attacchi contro istituzioni pubbliche e imprese militari in diversi paesi dell'Europa orientale, nonché in Afghanistan. Queste campagne minacciose sono attribuite a un gruppo APT (Advanced Persistent Threat) sostenuto dalla Cina e rintracciato dai ricercatori di sicurezza informatica come TA428. Secondo i ricercatori, gli attori della minaccia sono stati in grado di compromettere dozzine di obiettivi. Gli hacker si sono persino impossessati dell'infrastruttura IT di alcune delle loro vittime, ottenendo il controllo dei sistemi progettati per gestire le soluzioni di sicurezza.

TA428 ha creato speciali e-mail di richiamo di spear-phishing contenenti dati rilevanti per l'entità presa di mira. In alcuni casi, gli aggressori hanno persino incluso informazioni non pubblicamente disponibili, indicando il loro impegno a violare l'organizzazione. Gli hacker potrebbero aver raccolto i dati da precedenti attacchi contro l'obiettivo o i suoi dipendenti, nonché da aziende compromesse che lavorano a stretto contatto con le vittime prescelte Le e-mail di phishing contengono documenti Microsoft Word armati che possono sfruttare la vulnerabilità CVE-2017-11882 per eseguire azioni arbitrarie codice.

Dettagli Logtu

Logtu è tra le sei minacce malware eliminate da TA428. È una minaccia osservata in precedenti attacchi che si ritiene siano stati effettuati dallo stesso gruppo APT. La minaccia ha subito modifiche significative, con versioni recenti che evitano il rilevamento tramite l'uso di importazioni dinamiche e nomi di funzioni crittografati XOR. Come parte della sua distribuzione sul dispositivo violato, Logtu utilizza una tecnica di svuotamento dei processi che carica una libreria danneggiata in un processo software legittimo, anziché in uno di sistema.

Una volta completamente attivato, Logtu può svolgere un'ampia gamma di funzioni intrusive. Può scrivere dati su file scelti, rimuovere file, ottenere ed esfiltrare informazioni sui file, avviare programmi e creare processi, creare schermate, ottenere un elenco di servizi registrati e avviare servizi specifici e altro ancora. La minaccia riguarda principalmente l'ottenimento di specifici set di dati che puntano verso l'obiettivo degli attacchi di essere lo spionaggio informatico.

Tendenza

I più visti

Caricamento in corso...