Logtu

Logtu ialah salah satu daripada enam ancaman perisian hasad yang digunakan sebagai sebahagian daripada siri serangan terhadap institusi awam dan perusahaan ketenteraan di beberapa negara Eropah Timur, serta Afghanistan. Kempen mengancam ini dikaitkan dengan kumpulan APT (Advanced Persistent Threat) yang disokong oleh China yang dijejaki oleh penyelidik keselamatan siber sebagai TA428. Menurut penyelidik, pelaku ancaman telah dapat menjejaskan berpuluh-puluh sasaran. Penggodam malah mengambil alih infrastruktur IT beberapa mangsa mereka, memperoleh kawalan ke atas sistem yang direka untuk mengurus penyelesaian keselamatan.

TA428 mencipta e-mel gewang spear-phishing khas yang mengandungi data yang berkaitan dengan entiti yang disasarkan. Dalam sesetengah kes, penyerang malah memasukkan maklumat yang tidak tersedia secara terbuka, yang menunjukkan komitmen mereka untuk melanggar organisasi. Penggodam mungkin telah mengumpulkan data daripada serangan sebelumnya terhadap sasaran atau pekerjanya, serta daripada syarikat yang terjejas yang bekerja rapat dengan mangsa yang dipilih. E-mel pancingan data membawa dokumen Microsoft Word bersenjata yang boleh memanfaatkan kerentanan CVE-2017-11882 untuk melaksanakan sewenang-wenangnya kod.

Butiran Logtu

Logtu adalah antara enam ancaman malware yang digugurkan oleh TA428. Ia adalah ancaman yang diperhatikan dalam serangan sebelum ini yang dipercayai dilakukan oleh kumpulan APT yang sama. Ancaman telah mengalami perubahan ketara, dengan versi terkini mengelak pengesanan melalui penggunaan import dinamik dan nama fungsi yang disulitkan XOR. Sebagai sebahagian daripada penggunaannya pada peranti yang dilanggar, Logtu menggunakan teknik mengosongkan proses yang memuatkan perpustakaan yang rosak ke dalam proses perisian yang sah, bukannya satu sistem.

Setelah diaktifkan sepenuhnya, Logtu boleh melaksanakan pelbagai fungsi mengganggu. Ia boleh menulis data ke fail yang dipilih, mengalih keluar fail, mendapatkan dan mengeksfiltrasi maklumat fail, melancarkan program dan membuat proses, membuat tangkapan skrin, mendapatkan senarai perkhidmatan berdaftar dan melancarkan perkhidmatan tertentu dan banyak lagi. Ancaman terutamanya berkaitan dengan mendapatkan set data khusus yang menunjuk ke arah matlamat serangan adalah pengintipan siber.