Licenties voor meerdere apparaten (volumekortingen)
Threat Database Backdoors Logtu

Logtu

Tegen Mezo in Backdoors, Advanced Persistent Threat (APT)
Vertalen naar:
Nederlands

Logtu is een van de zes malwarebedreigingen die zijn ingezet als onderdeel van een reeks aanvallen op openbare instellingen en militaire ondernemingen in meerdere Oost-Europese landen, evenals in Afghanistan. Deze bedreigende campagnes worden toegeschreven aan een door China gesteunde APT-groep (Advanced Persistent Threat) die door cyberbeveiligingsonderzoekers wordt gevolgd als TA428. Volgens de onderzoekers hebben de dreigingsactoren tientallen doelen kunnen compromitteren. De hackers namen zelfs de IT-infrastructuur van sommige van hun slachtoffers over en kregen de controle over systemen die waren ontworpen om beveiligingsoplossingen te beheren.

TA428 maakte speciale e-mails met spear-phishing-lokmiddelen die gegevens bevatten die relevant zijn voor de getargete entiteit. In sommige gevallen namen de aanvallers zelfs informatie op die niet publiekelijk beschikbaar is, wat aangeeft dat ze zich inzetten om de organisatie te schenden. De hackers hebben mogelijk de gegevens verzameld van eerdere aanvallen op het doelwit of zijn werknemers, evenals van gecompromitteerde bedrijven die nauw samenwerken met de gekozen slachtoffers. De phishing-e-mails bevatten bewapende Microsoft Word-documenten die de CVE-2017-11882-kwetsbaarheid kunnen gebruiken om willekeurige code.

Logtu-details

Logtu is een van de zes malwarebedreigingen die door TA428 zijn verwijderd. Het is een dreiging die is waargenomen bij eerdere aanvallen die vermoedelijk zijn uitgevoerd door dezelfde APT-groep. De dreiging heeft aanzienlijke veranderingen ondergaan, waarbij recente versies detectie vermijden via het gebruik van dynamische import en XOR-gecodeerde functienamen. Als onderdeel van de implementatie op het gehackte apparaat, gebruikt Logtu een procesuithollingstechniek die een beschadigde bibliotheek in een legitiem softwareproces laadt, in plaats van een systeemproces.

Eenmaal volledig geactiveerd, kan Logtu een breed scala aan opdringerige functies uitvoeren. Het kan gegevens naar gekozen bestanden schrijven, bestanden verwijderen, bestandsinformatie verkrijgen en exfiltreren, programma's starten en processen maken, screenshots maken, een lijst met geregistreerde services verkrijgen en specifieke services starten en meer. De dreiging houdt zich voornamelijk bezig met het verkrijgen van specifieke gegevenssets die wijzen op het doel van de aanvallen, namelijk cyberspionage.

Trending

Meest bekeken

Bezig met laden...