Logtu

Logtu є однією з шести шкідливих програм, застосованих у серії атак на державні установи та військові підприємства в багатьох країнах Східної Європи, а також в Афганістані. Ці загрозливі кампанії приписують підтримуваній Китаєм групі APT (Advanced Persistent Threat), яку дослідники кібербезпеки відслідковують як TA428. За словами дослідників, зловмисникам вдалося скомпрометувати десятки цілей. Хакери навіть захопили ІТ-інфраструктуру деяких своїх жертв, отримавши контроль над системами, призначеними для керування рішеннями безпеки.

TA428 створював спеціальні електронні листи, що містять дані, що стосуються цільової сутності. У деяких випадках зловмисники навіть включали інформацію, яка не є загальнодоступною, що вказувало на їхнє бажання зламати організацію. Хакери могли зібрати дані від попередніх атак на ціль або її співробітників, а також від скомпрометованих компаній, які тісно співпрацюють із вибраними жертвами. Фішингові електронні листи несуть інструментальні документи Microsoft Word, які можуть використовувати вразливість CVE-2017-11882 для виконання довільних дій. код.

Деталі Logtu

Logtu входить до шести шкідливих загроз, відкинутих TA428. Це загроза, яка спостерігалася під час попередніх атак, які, як вважають, здійснила та сама група APT. Загроза зазнала значних змін: останні версії не виявляють її за допомогою динамічного імпорту та зашифрованих імен функцій XOR. У рамках свого розгортання на зламаному пристрої Logtu використовує техніку видалення процесу, яка завантажує пошкоджену бібліотеку в законний програмний процес замість системного.

Після повної активації Logtu може виконувати широкий спектр нав’язливих функцій. Він може записувати дані у вибрані файли, видаляти файли, отримувати та вилучати інформацію про файли, запускати програми та створювати процеси, робити знімки екрана, отримувати список зареєстрованих служб і запускати певні служби тощо. Загроза в основному стосується отримання певних наборів даних, які вказують на те, що метою атак є кібершпигунство.