Logtu
Logtu ir viens no sešiem ļaunprātīgas programmatūras draudiem, kas tiek izvietoti kā daļa no vairākiem uzbrukumiem valsts iestādēm un militārajiem uzņēmumiem vairākās Austrumeiropas valstīs, kā arī Afganistānā. Šīs draudošās kampaņas tiek attiecinātas uz Ķīnas atbalstīto APT (Advanced Persistent Threat) grupu, kuru kiberdrošības pētnieki izseko kā TA428. Pēc pētnieku domām, apdraudējuma dalībnieki ir spējuši apdraudēt desmitiem mērķu. Hakeri pat pārņēma dažu savu upuru IT infrastruktūru, iegūstot kontroli pār sistēmām, kas paredzētas drošības risinājumu pārvaldībai.
TA428 izstrādāja īpašus pikšķerēšanas e-pasta ziņojumus, kas satur datus, kas attiecas uz mērķa vienību. Dažos gadījumos uzbrucēji pat iekļāva informāciju, kas nav publiski pieejama, norādot uz viņu apņemšanos pārkāpt organizāciju. Iespējams, ka hakeri ir apkopojuši datus no iepriekšējiem uzbrukumiem mērķim vai tā darbiniekiem, kā arī no kompromitētiem uzņēmumiem, kas cieši sadarbojas ar izvēlētajiem upuriem. Pikšķerēšanas e-pasta ziņojumos ir ietverti ieroči Microsoft Word dokumenti, kas var izmantot CVE-2017-11882 ievainojamību, lai izpildītu patvaļīgas darbības. kodu.
Logtu detaļas
Logtu ir viens no sešiem ļaunprātīgas programmatūras draudiem, ko novērsis TA428. Tas ir drauds, kas novērots iepriekšējos uzbrukumos, kurus, domājams, ir veikusi tā pati APT grupa. Draudi ir būtiski mainījušies, jaunākajās versijās izvairoties no atklāšanas, izmantojot dinamisku importēšanu un XOR šifrētu funkciju nosaukumus. Kā daļu no izvietošanas bojātajā ierīcē Logtu izmanto procesa dobuma paņēmienu, kas ielādē bojātu bibliotēku likumīgā programmatūras procesā, nevis sistēmas.
Kad Logtu ir pilnībā aktivizēts, tas var veikt plašu uzmācīgu funkciju klāstu. Tas var ierakstīt datus izvēlētajos failos, noņemt failus, iegūt un izfiltrēt failu informāciju, palaist programmas un izveidot procesus, izveidot ekrānuzņēmumus, iegūt reģistrēto pakalpojumu sarakstu un palaist noteiktus pakalpojumus un daudz ko citu. Draudi galvenokārt ir saistīti ar konkrētu datu kopu iegūšanu, kas norāda uz uzbrukumu mērķi – kiberspiegošanu.
