Malware Logtu utilizado en ataques a entidades de Europa del Este
Los investigadores de seguridad publicaron un informe sobre una serie de ataques cibernéticos dirigidos a entidades industriales militares ubicadas en Europa del Este y Afganistán. Los ataques tuvieron lugar en enero de 2022 y están vinculados a un actor de amenazas chino con el designador TA428.
Los ataques cibernéticos tenían como objetivo plantas industriales militares e instalaciones de investigación ubicadas en Rusia, Bielorrusia, Ucrania y Afganistán. Los ataques emplearon varias herramientas maliciosas diferentes, una de las cuales fue llamada Logtu por el equipo de investigación.
El malware es una herramienta multipropósito que se implementa de manera similar a otras herramientas de puerta trasera utilizadas por TA428. Las últimas versiones de Logtu usan importaciones dinámicas y emplean el cifrado XOR para los nombres de sus funciones para dificultar la detección.
Mientras que otras herramientas de puerta trasera atribuidas a TA428 usan el proceso de vaciado de un proceso del sistema, Logtu se implementa usando el mismo método pero secuestrando y vaciando un proceso que pertenece a alguna otra aplicación legítima que se ejecuta en el sistema, cargando una biblioteca maliciosa en él.
El malware Logtu admite una amplia gama de comandos que incluyen verificar el tiempo de actividad, eliminar archivos, escribir datos en archivos, tomar capturas de pantalla e iniciar y finalizar procesos.