Logtu

Logtu je ena od šestih groženj zlonamerne programske opreme, uporabljenih kot del niza napadov na javne ustanove in vojaška podjetja v več vzhodnoevropskih državah, pa tudi v Afganistanu. Te grozilne kampanje so pripisane skupini APT (Advanced Persistent Threat), ki jo podpira Kitajska in ki jo raziskovalci kibernetske varnosti spremljajo kot TA428. Po mnenju raziskovalcev je akterjem groženj uspelo ogroziti na desetine tarč. Hekerji so celo prevzeli IT infrastrukturo nekaterih svojih žrtev in pridobili nadzor nad sistemi, namenjenimi upravljanju varnostnih rešitev.

TA428 je ustvaril posebna vabna e-poštna sporočila za lažno predstavljanje, ki vsebujejo podatke, pomembne za ciljno entiteto. V nekaterih primerih so napadalci celo vključili informacije, ki niso javno dostopne, kar kaže na njihovo zavezanost vdoru v organizacijo. Hekerji so morda zbrali podatke iz prejšnjih napadov na tarčo ali njene zaposlene, pa tudi od ogroženih podjetij, ki tesno sodelujejo z izbranimi žrtvami. E-poštna sporočila z lažnim predstavljanjem vsebujejo dokumente Microsoft Word z orožjem, ki lahko izkoristijo ranljivost CVE-2017-11882 za izvajanje samovoljnih dejanj. Koda.

Logtu Podrobnosti

Logtu je med šestimi grožnjami zlonamerne programske opreme, ki jih je TA428 opustil. Gre za grožnjo, opaženo v prejšnjih napadih, ki naj bi jih izvedla ista skupina APT. Grožnja je bila precej spremenjena, pri čemer se najnovejše različice izogibajo odkrivanju z uporabo dinamičnega uvoza in šifriranih imen funkcij XOR. Logtu kot del svoje umestitve na vdorno napravo uporablja tehniko izdolbenja procesa, ki naloži poškodovano knjižnico v zakonit proces programske opreme namesto v sistemskega.

Ko je Logtu popolnoma aktiviran, lahko izvaja širok spekter vsiljivih funkcij. Lahko zapiše podatke v izbrane datoteke, odstrani datoteke, pridobi in izloči podatke o datotekah, zažene programe in ustvari procese, naredi posnetke zaslona, pridobi seznam registriranih storitev in zažene določene storitve in drugo. Grožnja se nanaša predvsem na pridobivanje določenih nizov podatkov, ki kažejo na to, da je cilj napada kibernetsko vohunjenje.