Logtu
Ang Logtu ay isa sa anim na banta ng malware na na-deploy bilang bahagi ng isang serye ng mga pag-atake laban sa mga pampublikong institusyon at negosyo ng militar sa maraming bansa sa Eastern Europe, gayundin sa Afghanistan. Ang mga nagbabantang campaign na ito ay iniuugnay sa isang Chinese-backed APT (Advanced Persistent Threat) group na sinusubaybayan ng mga cybersecurity researcher bilang TA428. Ayon sa mga mananaliksik, ang mga aktor ng pagbabanta ay nagawang ikompromiso ang dose-dosenang mga target. Kinuha pa ng mga hacker ang imprastraktura ng IT ng ilan sa kanilang mga biktima, na nakakuha ng kontrol sa mga system na idinisenyo upang pamahalaan ang mga solusyon sa seguridad.
Gumawa ang TA428 ng mga espesyal na email ng spear-phishing na pang-akit na naglalaman ng data na nauugnay sa naka-target na entity. Sa ilang mga kaso, isinama pa ng mga umaatake ang impormasyong hindi available sa publiko, na nagsasaad ng kanilang pangako sa paglabag sa organisasyon. Maaaring natipon ng mga hacker ang data mula sa mga nakaraang pag-atake laban sa target o sa mga empleyado nito, gayundin mula sa mga nakompromisong kumpanya na nakikipagtulungan nang malapit sa mga napiling biktima Ang mga email ng phishing ay nagdadala ng mga sandatahang dokumento ng Microsoft Word na maaaring magamit ang kahinaan ng CVE-2017-11882 upang maisagawa ang arbitrary code.
Mga Detalye ng Logtu
Ang Logtu ay kabilang sa anim na banta ng malware na ibinaba ng TA428. Ito ay isang banta na naobserbahan sa mga nakaraang pag-atake na pinaniniwalaang ginawa ng parehong APT group. Ang banta ay sumailalim sa mga makabuluhang pagbabago, na ang mga kamakailang bersyon ay umiiwas sa pagtuklas sa pamamagitan ng paggamit ng mga dynamic na pag-import at XOR na naka-encrypt na mga pangalan ng function. Bilang bahagi ng pag-deploy nito sa nalabag na device, gumagamit ang Logtu ng process hollowing technique na naglo-load ng sirang library sa isang lehitimong proseso ng software, sa halip na isang system.
Kapag ganap na na-activate, ang Logtu ay makakapagsagawa ng malawak na hanay ng mga nakakasagabal na function. Maaari itong magsulat ng data sa mga napiling file, mag-alis ng mga file, kumuha at mag-exfiltrate ng impormasyon ng file, maglunsad ng mga programa at gumawa ng mga proseso, gumawa ng mga screenshot, kumuha ng listahan ng mga nakarehistrong serbisyo at maglunsad ng mga tinukoy na serbisyo at higit pa. Ang banta ay pangunahing nababahala sa pagkuha ng mga partikular na hanay ng data na tumuturo sa layunin ng mga pag-atake na maging cyber espionage.
