Logtu
Logtu 是针对多个东欧国家以及阿富汗的公共机构和军事企业的一系列攻击中部署的六种恶意软件威胁之一。这些威胁活动归因于中国支持的 APT(高级持续威胁)组织,网络安全研究人员将其跟踪为 TA428。据研究人员称,威胁行为者已经能够破坏数十个目标。黑客甚至接管了一些受害者的 IT 基础设施,控制了旨在管理安全解决方案的系统。
TA428 制作了特殊的鱼叉式网络钓鱼诱饵电子邮件,其中包含与目标实体相关的数据。在某些情况下,攻击者甚至包括不公开的信息,表明他们致力于破坏组织。黑客可能已经从先前针对目标或其员工的攻击以及与选定受害者密切合作的受感染公司收集数据 网络钓鱼电子邮件带有武器化的 Microsoft Word 文档,可以利用 CVE-2017-11882 漏洞执行任意代码。
洛图详细信息
Logtu 是 TA428 删除的六种恶意软件威胁之一。这是在以前的攻击中观察到的威胁,据信是由同一 APT 组织进行的。威胁发生了重大变化,最近的版本通过使用动态导入和 XOR 加密函数名称来避免检测。作为在被破坏设备上部署的一部分,Logtu 使用了一种进程空心技术,将损坏的库加载到合法的软件进程中,而不是系统进程中。
一旦完全激活,Logtu 就可以执行广泛的侵入性功能。它可以将数据写入所选文件、删除文件、获取和泄露文件信息、启动程序和创建进程、制作屏幕截图、获取注册服务列表和启动指定服务等等。该威胁主要涉及获取指向网络间谍攻击目标的特定数据集。
