Logtu

Logtu është një nga gjashtë kërcënimet malware të vendosura si pjesë e një serie sulmesh kundër institucioneve publike dhe ndërmarrjeve ushtarake në shumë vende të Evropës Lindore, si dhe në Afganistan. Këto fushata kërcënuese i atribuohen një grupi APT (Kërcënimi i Përparuar i Përparuar) i mbështetur nga Kina, i gjurmuar nga studiues të sigurisë kibernetike si TA428. Sipas studiuesve, aktorët e kërcënimit kanë qenë në gjendje të komprometojnë dhjetëra objektiva. Hakerët madje morën infrastrukturën e TI-së të disa prej viktimave të tyre, duke fituar kontrollin e sistemeve të krijuara për të menaxhuar zgjidhjet e sigurisë.

TA428 krijoi email-e të veçanta joshëse për phishing me shtizë që përmbajnë të dhëna të rëndësishme për entitetin e synuar. Në disa raste, sulmuesit madje përfshinin informacione që nuk janë të disponueshme publikisht, duke treguar angazhimin e tyre për të shkelur organizatën. Hakerët mund të kenë mbledhur të dhënat nga sulmet e mëparshme kundër objektivit ose punonjësve të tij, si dhe nga kompani të komprometuara që punojnë ngushtë me viktimat e zgjedhura. kodi.

Detajet e Logtu

Logtu është ndër gjashtë kërcënimet e malware të hequra nga TA428. Është një kërcënim i vërejtur në sulmet e mëparshme që besohet se janë kryer nga i njëjti grup APT. Kërcënimi ka pësuar ndryshime të rëndësishme, me versionet e fundit që shmangin zbulimin nëpërmjet përdorimit të importeve dinamike dhe emrave të funksioneve të koduara XOR. Si pjesë e vendosjes së tij në pajisjen e dëmtuar, Logtu përdor një teknikë të zbrazjes së procesit që ngarkon një bibliotekë të korruptuar në një proces softuerik legjitim, në vend të një sistemi.

Pasi të aktivizohet plotësisht, Logtu mund të kryejë një gamë të gjerë funksionesh ndërhyrëse. Mund të shkruajë të dhëna në skedarët e zgjedhur, të heqë skedarët, të marrë dhe të eksplorojë informacionin e skedarëve, të nisë programe dhe të krijojë procese, të bëjë pamje nga ekrani, të marrë një listë shërbimesh të regjistruara dhe të nisë shërbime të specifikuara dhe më shumë. Kërcënimi ka të bëjë kryesisht me marrjen e grupeve specifike të të dhënave që tregojnë se qëllimi i sulmeve është spiunazhi kibernetik.