Logtu

„Logtu“ yra viena iš šešių kenkėjiškų programų grėsmių, įdiegtų kaip dalis atakų prieš viešąsias institucijas ir karines įmones keliose Rytų Europos šalyse, taip pat Afganistane. Šios grėsmingos kampanijos priskiriamos Kinijos remiamai APT (Advanced Persistent Threat) grupei, kurią kibernetinio saugumo tyrinėtojai stebi kaip TA428. Tyrėjų teigimu, grėsmės veikėjai sugebėjo sukompromituoti dešimtis taikinių. Įsilaužėliai netgi perėmė kai kurių aukų IT infrastruktūrą, perimdami saugumo sprendimams valdyti skirtas sistemas.

TA428 sukūrė specialius sukčiavimo el. laiškus, kuriuose yra duomenų, susijusių su tiksline subjektu. Kai kuriais atvejais užpuolikai netgi įtraukė informaciją, kuri nėra viešai prieinama, o tai rodo jų įsipareigojimą pažeisti organizaciją. Įsilaužėliai galėjo rinkti duomenis iš ankstesnių atakų prieš taikinį ar jo darbuotojus, taip pat iš pažeistų įmonių, glaudžiai bendradarbiaujančių su pasirinktomis aukomis. Sukčiavimo el. laiškuose yra ginkluoti Microsoft Word dokumentai, kurie gali panaudoti CVE-2017-11882 pažeidžiamumą ir vykdyti savavališkus veiksmus. kodas.

Logtu detalės

„Logtu“ yra tarp šešių kenkėjiškų programų, kurias pašalino TA428. Tai grėsmė, pastebėta per ankstesnius išpuolius, kuriuos, kaip manoma, įvykdė ta pati APT grupė. Grėsmė buvo smarkiai pakeista, nes naujausiose versijose buvo išvengta aptikimo naudojant dinaminį importą ir XOR užšifruotus funkcijų pavadinimus. Diegdama pažeistame įrenginyje, „Logtu“ naudoja proceso tuščiavidurio techniką, kuri sugadintą biblioteką įkelia į teisėtą programinės įrangos procesą, o ne į sistemos.

Visiškai suaktyvinus, „Logtu“ gali atlikti daugybę įkyrių funkcijų. Jis gali įrašyti duomenis į pasirinktus failus, pašalinti failus, gauti ir išfiltruoti failų informaciją, paleisti programas ir kurti procesus, daryti ekrano kopijas, gauti registruotų paslaugų sąrašą ir paleisti nurodytas paslaugas ir dar daugiau. Grėsmė daugiausia susijusi su konkrečių duomenų rinkinių, nukreipiančių į atakų tikslą – kibernetinį šnipinėjimą, gavimu.