Logtu

Logtu jest jednym z sześciu zagrożeń złośliwym oprogramowaniem wdrożonych w ramach serii ataków na instytucje publiczne i przedsiębiorstwa wojskowe w wielu krajach Europy Wschodniej, a także w Afganistanie. Te groźne kampanie są przypisywane wspieranej przez Chiny grupie APT (Advanced Persistent Threat) śledzonej przez badaczy cyberbezpieczeństwa jako TA428. Według naukowców cyberprzestępcy byli w stanie skompromitować dziesiątki celów. Hakerzy przejęli nawet infrastrukturę IT niektórych swoich ofiar, przejmując kontrolę nad systemami przeznaczonymi do zarządzania rozwiązaniami bezpieczeństwa.

TA428 spreparował specjalne e-maile z przynętą typu spear-phishing zawierające dane istotne dla docelowego podmiotu. W niektórych przypadkach osoby atakujące zawierały nawet informacje, które nie są publicznie dostępne, wskazując na ich zaangażowanie w naruszenie organizacji. Hakerzy mogli zebrać dane z poprzednich ataków na cel lub jego pracowników, a także od zaatakowanych firm ściśle współpracujących z wybranymi ofiarami. Wiadomości phishingowe zawierają uzbrojone dokumenty Microsoft Word, które mogą wykorzystać lukę CVE-2017-11882 do wykonania arbitralnego kod.

Szczegóły Logtu

Logtu jest jednym z sześciu zagrożeń złośliwego oprogramowania usuniętych przez TA428. Jest to zagrożenie obserwowane w poprzednich atakach, które prawdopodobnie zostały przeprowadzone przez tę samą grupę APT. Zagrożenie przeszło znaczące zmiany, a ostatnie wersje unikają wykrycia za pomocą dynamicznych importów i zaszyfrowanych nazw funkcji XOR. W ramach wdrażania na złamanym urządzeniu Logtu wykorzystuje technikę wydrążania procesów, która ładuje uszkodzoną bibliotekę do legalnego procesu oprogramowania zamiast do systemu systemowego.

Po pełnej aktywacji Logtu może wykonywać szeroki zakres inwazyjnych funkcji. Może zapisywać dane do wybranych plików, usuwać pliki, uzyskiwać i eksfiltrować informacje o plikach, uruchamiać programy i tworzyć procesy, robić zrzuty ekranu, uzyskiwać listę zarejestrowanych usług i uruchamiać określone usługi i wiele więcej. Zagrożenie dotyczy głównie pozyskania określonych zestawów danych wskazujących na cel ataków, jakim jest cyberszpiegostwo.