Logtu

Логту је једна од шест претњи злонамерног софтвера распоређених у склопу серије напада на јавне институције и војна предузећа у више источноевропских земаља, као и у Авганистану. Ове претеће кампање се приписују групи АПТ (Адванцед Персистент Тхреат) коју подржавају Кинези, а коју истраживачи сајбер безбедности прате као ТА428. Према истраживачима, актери претње су успели да угрозе десетине мета. Хакери су чак преузели ИТ инфраструктуру неких својих жртава, добијајући контролу над системима дизајнираним за управљање сигурносним решењима.

ТА428 је направио посебне е-поруке са мамцима за крађу идентитета који садрже податке релевантне за циљани ентитет. У неким случајевима, нападачи су чак укључили информације које нису јавно доступне, што указује на њихову посвећеност кршењу организације. Хакери су можда прикупили податке из претходних напада на мету или њене запослене, као и од компромитованих компанија које блиско сарађују са одабраним жртвама. Е-поруке за крађу идентитета садрже наоружане Мицрософт Ворд документе који могу да искористе рањивост ЦВЕ-2017-11882 да изврше произвољно код.

Логту Детаљи

Логту је међу шест малвер претњи које је ТА428 одбацио. То је претња примећена у претходним нападима за које се верује да их је извршила иста АПТ група. Претња је претрпела значајне промене, са недавним верзијама које избегавају откривање коришћењем динамичког увоза и КСОР шифрованих имена функција. Као део своје примене на оштећеном уређају, Логту користи технику дубљег процеса која учитава оштећену библиотеку у легитимни софтверски процес, уместо у системски.

Једном када се потпуно активира, Логту може да обавља широк спектар интрузивних функција. Може да уписује податке у изабране датотеке, уклања датотеке, добија и ексфилтрира информације о датотекама, покреће програме и креира процесе, прави снимке екрана, добија листу регистрованих услуга и покреће одређене услуге и још много тога. Претња се углавном односи на добијање специфичних скупова података који упућују на циљ напада који је сајбер шпијунажа.