Logtu Malware utilizzato negli attacchi alle entità dell'Europa orientale
I ricercatori della sicurezza hanno pubblicato un rapporto su una serie di attacchi informatici contro entità industriali militari situate nell'Europa orientale e in Afghanistan. Gli attacchi sono avvenuti nel gennaio 2022 e sono collegati a un attore di minacce cinese chiamato TA428.
Gli attacchi informatici hanno preso di mira impianti industriali militari e strutture di ricerca ubicate in Russia, Bielorussia, Ucraina e Afghanistan. Gli attacchi hanno impiegato diversi strumenti dannosi, uno dei quali è stato chiamato Logtu dal team di ricerca.
Il malware è uno strumento multiuso che viene distribuito in modo simile ad altri strumenti backdoor utilizzati da TA428. Le ultime versioni di Logtu utilizzano importazioni dinamiche e utilizzano la crittografia XOR per i nomi delle sue funzioni per rendere più difficile il rilevamento.
Mentre altri strumenti backdoor attribuiti a TA428 utilizzano il process hollowing di un processo di sistema, Logtu viene distribuito utilizzando lo stesso metodo ma dirottando e svuotando un processo appartenente a qualche altra applicazione legittima in esecuzione sul sistema, caricando una libreria dannosa al suo interno.
Il malware Logtu supporta un'ampia gamma di comandi che includono il controllo del tempo di attività, l'eliminazione di file, la scrittura di dati su file, l'acquisizione di schermate e l'avvio e l'interruzione dei processi.
