Logiciel malveillant Logtu utilisé dans des attaques contre des entités d'Europe de l'Est

Des chercheurs en sécurité ont publié un rapport sur une série de cyberattaques visant des entités militaro-industrielles situées en Europe de l'Est et en Afghanistan. Les attaques ont eu lieu en janvier 2022 et sont liées à un acteur menaçant chinois sous l'indicatif TA428.

Les cyberattaques visaient des installations industrielles militaires et des installations de recherche situées en Russie, en Biélorussie, en Ukraine et en Afghanistan. Les attaques ont utilisé plusieurs outils malveillants différents, dont l'un s'appelait Logtu par l'équipe de recherche.

Le malware est un outil polyvalent qui est déployé de la même manière que d'autres outils de porte dérobée utilisés par TA428. Les dernières versions de Logtu utilisent des importations dynamiques et utilisent le cryptage XOR pour ses noms de fonction afin de rendre la détection plus difficile.

Alors que d'autres outils de porte dérobée attribués à TA428 utilisent le creusement de processus d'un processus système, Logtu est déployé en utilisant la même méthode mais en détournant et en creusant un processus appartenant à une autre application légitime s'exécutant sur le système, en y chargeant une bibliothèque malveillante.

Le logiciel malveillant Logtu prend en charge un large éventail de commandes, notamment la vérification de la disponibilité, la suppression de fichiers, l'écriture de données dans des fichiers, la prise de captures d'écran et le lancement et la fin des processus.