Logtu
Logtu 是針對多個東歐國家以及阿富汗的公共機構和軍事企業的一系列攻擊中部署的六種惡意軟件威脅之一。這些威脅活動歸因於中國支持的 APT(高級持續威脅)組織,網絡安全研究人員將其跟踪為 TA428。據研究人員稱,威脅行為者已經能夠破壞數十個目標。黑客甚至接管了一些受害者的 IT 基礎設施,控制了旨在管理安全解決方案的系統。
TA428 製作了特殊的魚叉式網絡釣魚誘餌電子郵件,其中包含與目標實體相關的數據。在某些情況下,攻擊者甚至包括不公開的信息,表明他們致力於破壞組織。黑客可能已經從先前針對目標或其員工的攻擊以及與選定受害者密切合作的受感染公司收集數據 網絡釣魚電子郵件帶有武器化的 Microsoft Word 文檔,可以利用 CVE-2017-11882 漏洞執行任意代碼。
洛圖詳細信息
Logtu 是 TA428 刪除的六種惡意軟件威脅之一。這是在以前的攻擊中觀察到的威脅,據信是由同一 APT 組織進行的。威脅發生了重大變化,最近的版本通過使用動態導入和 XOR 加密函數名稱來避免檢測。作為在被破壞設備上部署的一部分,Logtu 使用了一種進程空心技術,將損壞的庫加載到合法的軟件進程中,而不是系統進程中。
一旦完全激活,Logtu 就可以執行廣泛的侵入性功能。它可以將數據寫入所選文件、刪除文件、獲取和洩露文件信息、啟動程序和創建進程、製作屏幕截圖、獲取註冊服務列表和啟動指定服務等等。該威脅主要涉及獲取指向網絡間諜攻擊目標的特定數據集。
