Logtu

Logtu ist eine von sechs Malware-Bedrohungen, die im Rahmen einer Reihe von Angriffen auf öffentliche Einrichtungen und Militärunternehmen in mehreren osteuropäischen Ländern sowie in Afghanistan eingesetzt werden. Diese Drohkampagnen werden einer von China unterstützten APT-Gruppe (Advanced Persistent Threat) zugeschrieben, die von Cybersicherheitsforschern als TA428 verfolgt wird. Den Forschern zufolge konnten die Bedrohungsakteure Dutzende von Zielen kompromittieren. Die Hacker übernahmen sogar die IT-Infrastruktur einiger ihrer Opfer und erlangten die Kontrolle über Systeme zur Verwaltung von Sicherheitslösungen.

TA428 erstellte spezielle Spear-Phishing-Köder-E-Mails mit Daten, die für die Zieleinheit relevant sind. In einigen Fällen fügten die Angreifer sogar Informationen hinzu, die nicht öffentlich zugänglich sind, was auf ihr Engagement hinweist, gegen die Organisation vorzugehen. Die Hacker haben möglicherweise die Daten von früheren Angriffen gegen das Ziel oder seine Mitarbeiter sowie von kompromittierten Unternehmen gesammelt, die eng mit den ausgewählten Opfern zusammenarbeiten Code.

Logtu-Details

Logtu gehört zu den sechs Malware-Bedrohungen, die von TA428 abgeworfen werden. Es handelt sich um eine Bedrohung, die bei früheren Angriffen beobachtet wurde, von denen angenommen wird, dass sie von derselben APT-Gruppe durchgeführt wurden. Die Bedrohung hat erhebliche Änderungen erfahren, wobei neuere Versionen die Erkennung durch die Verwendung dynamischer Importe und XOR-verschlüsselter Funktionsnamen vermeiden. Als Teil der Bereitstellung auf dem angegriffenen Gerät verwendet Logtu eine Process Hollowing-Technik, die eine beschädigte Bibliothek in einen legitimen Softwareprozess lädt, anstatt in einen Systemprozess.

Sobald es vollständig aktiviert ist, kann Logtu eine Vielzahl von aufdringlichen Funktionen ausführen. Es kann Daten in ausgewählte Dateien schreiben, Dateien entfernen, Dateiinformationen abrufen und exfiltrieren, Programme starten und Prozesse erstellen, Screenshots erstellen, eine Liste registrierter Dienste abrufen und bestimmte Dienste starten und vieles mehr. Die Bedrohung zielt hauptsächlich darauf ab, bestimmte Datensätze zu erhalten, die darauf hindeuten, dass das Ziel der Angriffe Cyberspionage ist.