Logtu-Malware, die bei Angriffen auf osteuropäische Einheiten verwendet wird

Sicherheitsforscher veröffentlichten einen Bericht über eine Reihe von Cyberangriffen auf militärisch-industrielle Einheiten in Osteuropa und Afghanistan. Die Angriffe fanden bereits im Januar 2022 statt und werden mit einem chinesischen Bedrohungsakteur mit der Bezeichnung TA428 in Verbindung gebracht.

Die Cyberangriffe richteten sich gegen militärische Industrieanlagen und Forschungseinrichtungen in Russland, Weißrussland, der Ukraine und Afghanistan. Die Angriffe verwendeten mehrere verschiedene bösartige Tools, von denen eines vom Forschungsteam Logtu genannt wurde.

Die Malware ist ein Mehrzwecktool, das ähnlich wie andere von TA428 verwendete Backdoor-Tools eingesetzt wird. Die neuesten Versionen von Logtu verwenden dynamische Importe und verwenden XOR-Verschlüsselung für ihre Funktionsnamen, um die Erkennung zu erschweren.

Während andere Backdoor-Tools, die TA428 zugeschrieben werden, das Prozessaushöhlen eines Systemprozesses verwenden, wird Logtu mit der gleichen Methode bereitgestellt, aber es wird ein Prozess entführt und ausgehöhlt, der zu einer anderen legitimen Anwendung gehört, die auf dem System ausgeführt wird, und eine bösartige Bibliothek in ihn geladen.

Die Logtu-Malware unterstützt eine breite Palette von Befehlen, darunter das Überprüfen der Betriebszeit, das Löschen von Dateien, das Schreiben von Daten in Dateien, das Erstellen von Screenshots sowie das Starten und Beenden von Prozessen.