Logtu

Logtu는 여러 동유럽 국가 및 아프가니스탄의 공공 기관 및 군사 기업에 대한 일련의 공격의 일부로 배포된 6가지 악성 코드 위협 중 하나입니다. 이러한 위협적인 캠페인은 사이버 보안 연구원이 TA428로 추적한 중국 지원 APT(Advanced Persistent Threat) 그룹에 기인합니다. 연구원들에 따르면 위협 행위자는 수십 개의 표적을 손상시킬 수 있었습니다. 해커는 일부 피해자의 IT 인프라를 장악하여 보안 솔루션을 관리하도록 설계된 시스템을 제어하기도 했습니다.

TA428은 표적 엔티티와 관련된 데이터가 포함된 특수 스피어 피싱 유인 이메일을 제작했습니다. 어떤 경우에는 공격자가 공개적으로 사용할 수 없는 정보를 포함하여 조직을 침해하겠다는 약속을 나타냅니다. 해커는 대상 또는 그 직원에 대한 이전 공격과 선택된 피해자와 긴밀하게 협력하는 손상된 회사로부터 데이터를 수집했을 수 있습니다. 피싱 이메일에는 CVE-2017-11882 취약점을 활용하여 임의의 항목을 실행할 수 있는 무기화된 Microsoft Word 문서가 포함되어 있습니다. 암호.

Logtu 세부정보

Logtu는 TA428이 삭제한 6가지 악성코드 위협 중 하나입니다. 동일한 APT 그룹이 수행한 것으로 추정되는 이전 공격에서 관찰된 위협입니다. 위협은 동적 가져오기 및 XOR 암호화된 함수 이름을 사용하여 탐지를 피하는 최신 버전과 함께 상당한 변화를 겪었습니다. 침해된 장치에 대한 배포의 일부로 Logtu는 손상된 라이브러리를 시스템 프로세스가 아닌 합법적인 소프트웨어 프로세스에 로드하는 프로세스 할로잉 기술을 활용합니다.

완전히 활성화되면 Logtu는 광범위한 침입 기능을 수행할 수 있습니다. 선택한 파일에 데이터 쓰기, 파일 제거, 파일 정보 획득 및 추출, 프로그램 실행 및 프로세스 생성, 스크린샷 만들기, 등록된 서비스 목록 가져오기 및 지정된 서비스 실행 등을 수행할 수 있습니다. 위협은 주로 사이버 스파이 공격의 목표를 가리키는 특정 데이터 세트를 획득하는 것과 관련이 있습니다.