Κακόβουλο λογισμικό Logtu που χρησιμοποιείται σε επιθέσεις σε οντότητες της Ανατολικής Ευρώπης

Ερευνητές ασφαλείας δημοσίευσαν μια έκθεση για μια σειρά επιθέσεων στον κυβερνοχώρο με στόχο στρατιωτικές βιομηχανικές οντότητες που βρίσκονται στην Ανατολική Ευρώπη και το Αφγανιστάν. Οι επιθέσεις έλαβαν χώρα τον Ιανουάριο του 2022 και συνδέονται με έναν κινεζικό παράγοντα απειλής με τον χαρακτηριστή TA428.

Οι επιθέσεις στον κυβερνοχώρο είχαν στόχο στρατιωτικές βιομηχανικές εγκαταστάσεις και ερευνητικές εγκαταστάσεις που βρίσκονται στη Ρωσία, τη Λευκορωσία, την Ουκρανία και το Αφγανιστάν. Οι επιθέσεις χρησιμοποιούσαν πολλά διαφορετικά κακόβουλα εργαλεία, ένα από τα οποία ονομαζόταν Logtu από την ερευνητική ομάδα.

Το κακόβουλο λογισμικό είναι ένα εργαλείο πολλαπλών χρήσεων που αναπτύσσεται παρόμοια με άλλα εργαλεία backdoor που χρησιμοποιούνται από το TA428. Οι πιο πρόσφατες εκδόσεις του Logtu χρησιμοποιούν δυναμικές εισαγωγές και χρησιμοποιούν κρυπτογράφηση XOR για τα ονόματα των λειτουργιών του για να κάνουν τον εντοπισμό πιο δύσκολο.

Ενώ άλλα εργαλεία κερκόπορτας που αποδίδονται στο TA428 χρησιμοποιούν το hollowing διεργασίας μιας διεργασίας συστήματος, το Logtu αναπτύσσεται χρησιμοποιώντας την ίδια μέθοδο, αλλά πειρατεύει και ανοίγει μια διαδικασία που ανήκει σε κάποια άλλη νόμιμη εφαρμογή που εκτελείται στο σύστημα, φορτώνοντας μια κακόβουλη βιβλιοθήκη σε αυτήν.

Το κακόβουλο λογισμικό Logtu υποστηρίζει ένα ευρύ φάσμα εντολών που περιλαμβάνουν έλεγχο χρόνου λειτουργίας, διαγραφή αρχείων, εγγραφή δεδομένων σε αρχεία, λήψη στιγμιότυπων οθόνης και διεργασίες εκκίνησης και τερματισμού.