Logtu

Logtu je jednou zo šiestich malvérových hrozieb nasadených ako súčasť série útokov proti verejným inštitúciám a vojenským podnikom vo viacerých krajinách východnej Európy, ako aj v Afganistane. Tieto hrozivé kampane sa pripisujú skupine APT (Advanced Persistent Threat) podporovanej Čínou, ktorú výskumníci v oblasti kybernetickej bezpečnosti sledovali ako TA428. Podľa výskumníkov boli aktéri hrozby schopní kompromitovať desiatky cieľov. Hackeri dokonca prevzali IT infraštruktúru niektorých svojich obetí, čím získali kontrolu nad systémami určenými na správu bezpečnostných riešení.

TA428 vytvoril špeciálne e-maily s návnadou na phishing s údajmi relevantnými pre cieľovú entitu. V niektorých prípadoch útočníci dokonca zahrnuli informácie, ktoré nie sú verejne dostupné, čo naznačuje ich odhodlanie narušiť organizáciu. Hackeri mohli zhromaždiť údaje z predchádzajúcich útokov na cieľ alebo jeho zamestnancov, ako aj z kompromitovaných spoločností, ktoré úzko spolupracujú s vybranými obeťami. kód.

Podrobnosti Logtu

Logtu patrí medzi šesť malvérových hrozieb, ktoré TA428 vypustil. Ide o hrozbu pozorovanú pri predchádzajúcich útokoch, o ktorých sa predpokladá, že ich vykonala tá istá skupina APT. Hrozba prešla významnými zmenami, pričom najnovšie verzie sa vyhýbajú detekcii pomocou dynamických importov a názvov funkcií šifrovaných XOR. Logtu ako súčasť svojho nasadenia na narušenom zariadení využíva techniku dutého procesu, ktorá načíta poškodenú knižnicu do legitímneho softvérového procesu namiesto systémového.

Po plnej aktivácii môže Logtu vykonávať širokú škálu rušivých funkcií. Dokáže zapisovať údaje do vybraných súborov, odstraňovať súbory, získavať a extrahovať informácie o súboroch, spúšťať programy a vytvárať procesy, vytvárať snímky obrazovky, získavať zoznam registrovaných služieb a spúšťať konkrétne služby a ďalšie. Hrozba sa týka najmä získania konkrétnych súborov údajov smerujúcich k tomu, že cieľom útokov je kybernetická špionáž.