Logtu

Logtu er en av seks malware-trusler som er utplassert som en del av en rekke angrep mot offentlige institusjoner og militære virksomheter i flere østeuropeiske land, så vel som Afghanistan. Disse truende kampanjene tilskrives en kinesisk-støttet APT-gruppe (Advanced Persistent Threat) sporet av cybersikkerhetsforskere som TA428. Ifølge forskerne har trusselaktørene vært i stand til å kompromittere dusinvis av mål. Hackerne tok til og med over IT-infrastrukturen til noen av ofrene deres, og fikk kontroll over systemer designet for å administrere sikkerhetsløsninger.

TA428 laget spesielle spyd-phishing-lokke-e-poster som inneholder data som er relevante for den målrettede enheten. I noen tilfeller inkluderte angriperne til og med informasjon som ikke er offentlig tilgjengelig, noe som indikerer deres forpliktelse til å bryte organisasjonen. Hackerne kan ha samlet inn data fra tidligere angrep mot målet eller dets ansatte, så vel som fra kompromitterte selskaper som jobber tett med de utvalgte ofrene. Phishing-e-postene inneholder våpenbeskyttede Microsoft Word-dokumenter som kan utnytte CVE-2017-11882-sårbarheten til å utføre vilkårlig kode.

Logtu detaljer

Logtu er blant de seks truslene mot skadelig programvare som ble droppet av TA428. Det er en trussel observert i tidligere angrep som antas å ha blitt utført av den samme APT-gruppen. Trusselen har gjennomgått betydelige endringer, med nyere versjoner som unngår oppdagelse via bruk av dynamisk import og XOR-krypterte funksjonsnavn. Som en del av distribusjonen på den brutte enheten, bruker Logtu en prosessuthullingsteknikk som laster et ødelagt bibliotek inn i en legitim programvareprosess, i stedet for en systemprosess.

Når den er fullt aktivert, kan Logtu utføre et bredt spekter av påtrengende funksjoner. Den kan skrive data til valgte filer, fjerne filer, skaffe og eksfiltrere filinformasjon, starte programmer og lage prosesser, lage skjermbilder, få en liste over registrerte tjenester og starte spesifiserte tjenester og mer. Trusselen er hovedsakelig opptatt av å skaffe spesifikke sett med data som peker mot målet med angrepene er cyberspionasje.