A kelet-európai entitások elleni támadásokban használt Logtu malware
Biztonsági kutatók jelentést tettek közzé a Kelet-Európában és Afganisztánban található katonai ipari szervezeteket célzó kibertámadások sorozatáról. A támadások még 2022 januárjában történtek, és a TA428 jelzésű kínai fenyegetettséggel kapcsolatosak.
A kibertámadások Oroszországban, Fehéroroszországban, Ukrajnában és Afganisztánban található katonai ipari üzemeket és kutatólétesítményeket célozták meg. A támadások több különböző rosszindulatú eszközt alkalmaztak, amelyek közül az egyiket Logtunak nevezte a kutatócsoport.
A rosszindulatú program egy többcélú eszköz, amelyet a TA428 által használt többi hátsó ajtóhoz hasonlóan telepítenek. A Logtu legújabb verziói dinamikus importálást használnak, és XOR titkosítást alkalmaznak a függvénynevekhez, hogy megnehezítsék az észlelést.
Míg a TA428-nak tulajdonított más háttérajtó-eszközök a rendszerfolyamatok kiürítését használják, a Logtu-t ugyanezzel a módszerrel telepítik, de eltérítik és kiürítik a rendszeren futó más, legitim alkalmazáshoz tartozó folyamatokat, és rosszindulatú könyvtárat töltenek be.
A Logtu kártevő a parancsok széles skáláját támogatja, beleértve az üzemidő ellenőrzését, a fájlok törlését, az adatok fájlba írását, a képernyőképek készítését, valamint a folyamatok elindítását és leállítását.