Logtu

Logtu เป็นหนึ่งในหกภัยคุกคามมัลแวร์ที่ถูกนำไปใช้เป็นส่วนหนึ่งของชุดการโจมตีต่อสถาบันสาธารณะและองค์กรทางทหารในหลายประเทศในยุโรปตะวันออก รวมถึงอัฟกานิสถาน แคมเปญที่คุกคามเหล่านี้มีสาเหตุมาจากกลุ่ม APT (ภัยคุกคามถาวรขั้นสูง) ที่ได้รับการสนับสนุนจากจีน ซึ่งติดตามโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ในชื่อ TA428 นักวิจัยระบุว่าผู้คุกคามสามารถประนีประนอมกับเป้าหมายได้หลายสิบแบบ แฮ็กเกอร์ยังเข้ายึดโครงสร้างพื้นฐานด้านไอทีของเหยื่อบางราย โดยเข้าควบคุมระบบที่ออกแบบมาเพื่อจัดการโซลูชันการรักษาความปลอดภัย

TA428 ได้สร้างอีเมลหลอกลวงแบบสเปียร์ฟิชชิ่งแบบพิเศษที่มีข้อมูลที่เกี่ยวข้องกับเอนทิตีเป้าหมาย ในบางกรณี ผู้โจมตีอาจรวมข้อมูลที่ไม่เปิดเผยต่อสาธารณะ ซึ่งแสดงถึงความมุ่งมั่นในการละเมิดองค์กร แฮ็กเกอร์อาจรวบรวมข้อมูลจากการโจมตีก่อนหน้านี้ต่อเป้าหมายหรือพนักงานของเป้าหมาย ตลอดจนจากบริษัทที่ถูกบุกรุกซึ่งทำงานอย่างใกล้ชิดกับผู้ที่ตกเป็นเหยื่อที่เลือก อีเมลฟิชชิ่งมีเอกสาร Microsoft Word ที่มีอาวุธซึ่งสามารถใช้ประโยชน์จากช่องโหว่ CVE-2017-11882 เพื่อดำเนินการตามอำเภอใจ รหัส.

Logtu รายละเอียด

Logtu เป็นหนึ่งในหกภัยคุกคามมัลแวร์ที่ลดลงโดย TA428 เป็นภัยคุกคามที่พบในการโจมตีครั้งก่อนซึ่งเชื่อว่าดำเนินการโดยกลุ่ม APT เดียวกัน ภัยคุกคามได้รับการเปลี่ยนแปลงที่สำคัญ โดยเวอร์ชันล่าสุดหลีกเลี่ยงการตรวจจับผ่านการใช้การนำเข้าแบบไดนามิกและชื่อฟังก์ชันที่เข้ารหัส XOR ส่วนหนึ่งของการใช้งานบนอุปกรณ์ที่ถูกเจาะระบบ Logtu ใช้เทคนิคการกลวงกระบวนการที่โหลดไลบรารีที่เสียหายเข้าสู่กระบวนการซอฟต์แวร์ที่ถูกต้อง แทนที่จะเป็นระบบหนึ่ง

เมื่อเปิดใช้งานโดยสมบูรณ์แล้ว Logtu สามารถทำหน้าที่ล่วงล้ำได้หลากหลาย มันสามารถเขียนข้อมูลไปยังไฟล์ที่เลือก ลบไฟล์ รับและแยกข้อมูลไฟล์ เปิดโปรแกรมและสร้างกระบวนการ สร้างภาพหน้าจอ รับรายการบริการที่ลงทะเบียนและเปิดบริการที่ระบุและอื่น ๆ ภัยคุกคามส่วนใหญ่เกี่ยวข้องกับการรับชุดข้อมูลเฉพาะที่ชี้ไปยังเป้าหมายของการโจมตีที่เป็นการจารกรรมทางไซเบอร์