Logtu

Logtu este una dintre cele șase amenințări malware implementate ca parte a unei serii de atacuri împotriva instituțiilor publice și a întreprinderilor militare din mai multe țări din Europa de Est, precum și din Afganistan. Aceste campanii amenințătoare sunt atribuite unui grup APT (Advanced Persistent Threat) susținut de chinezi, urmărit de cercetătorii în domeniul securității cibernetice ca TA428. Potrivit cercetătorilor, actorii amenințărilor au reușit să compromită zeci de ținte. Hackerii au preluat chiar infrastructura IT a unora dintre victimele lor, câștigând controlul asupra sistemelor concepute pentru a gestiona soluțiile de securitate.

TA428 a creat e-mailuri speciale de tip spear-phishing care conțin date relevante pentru entitatea vizată. În unele cazuri, atacatorii au inclus chiar și informații care nu sunt disponibile public, indicând angajamentul lor de a încălca organizația. Este posibil ca hackerii să fi strâns date din atacurile anterioare împotriva țintei sau a angajaților acesteia, precum și de la companii compromise care lucrează îndeaproape cu victimele alese. cod.

Detalii Logtu

Logtu se numără printre cele șase amenințări malware eliminate de TA428. Este o amenințare observată în atacurile anterioare despre care se crede că ar fi fost efectuate de același grup APT. Amenințarea a suferit modificări semnificative, versiunile recente evitând detectarea prin utilizarea importurilor dinamice și a numelor de funcții criptate XOR. Ca parte a implementării sale pe dispozitivul încălcat, Logtu utilizează o tehnică de golire a procesului care încarcă o bibliotecă coruptă într-un proces software legitim, în loc de unul de sistem.

Odată activat complet, Logtu poate îndeplini o gamă largă de funcții intruzive. Poate scrie date în fișierele alese, elimina fișiere, obține și exfiltra informații despre fișiere, lansează programe și creează procese, face capturi de ecran, obține o listă de servicii înregistrate și lansează servicii specificate și multe altele. Amenințarea se referă în principal la obținerea de seturi specifice de date care să îndrepte spre scopul atacurilor fiind spionajul cibernetic.