Logtu Malware brugt i angreb på østeuropæiske enheder
Sikkerhedsforskere offentliggjorde en rapport om en række cyberangreb rettet mod militære industrielle enheder i Østeuropa og Afghanistan. Angrebene fandt sted tilbage i januar 2022 og er forbundet med en kinesisk trusselsaktør, der går under betegnelsen TA428.
Cyberangrebene var rettet mod militære industrianlæg og forskningsfaciliteter i Rusland, Hviderusland, Ukraine og Afghanistan. Angrebene brugte flere forskellige ondsindede værktøjer, hvoraf det ene blev kaldt Logtu af forskerholdet.
Malwaren er et multifunktionelt værktøj, der er implementeret på samme måde som andre bagdørsværktøjer, der bruges af TA428. De seneste versioner af Logtu bruger dynamisk import og anvender XOR-kryptering til dets funktionsnavne for at gøre detektion sværere.
Mens andre bagdørsværktøjer tilskrevet TA428 bruger procesudhulning af en systemproces, implementeres Logtu ved hjælp af samme metode, men kaprer og udhuler en proces, der tilhører en anden legitim applikation, der kører på systemet, og indlæser et ondsindet bibliotek i det.
Logtu-malwaren understøtter en lang række kommandoer, der inkluderer kontrol af oppetid, sletning af filer, skrivning af data til filer, tage skærmbilleder og både start og afslutning af processer.
