東ヨーロッパのエンティティへの攻撃に使用される Logtu マルウェア
セキュリティ研究者は、東ヨーロッパとアフガニスタンにある軍事産業エンティティを標的とした一連のサイバー攻撃に関するレポートを公開しました。攻撃は 2022 年 1 月に発生し、指定子 TA428 によって行われる中国の脅威アクターに関連しています。
サイバー攻撃は、ロシア、ベラルーシ、ウクライナ、アフガニスタンにある軍事産業プラントと研究施設を標的にしていました。攻撃にはいくつかの悪意のあるツールが使用されており、そのうちの 1 つが研究チームによって Logtu と呼ばれていました。
このマルウェアは、TA428 が使用する他のバックドア ツールと同様に展開される多目的ツールです。 Logtu の最新バージョンは、動的インポートを使用し、関数名に XOR 暗号化を採用して、検出をより困難にしています。
TA428 に起因する他のバックドア ツールはシステム プロセスのプロセス ハロウイングを使用しますが、Logtu は同じ方法を使用して展開されますが、システム上で実行されている他の正当なアプリケーションに属するプロセスを乗っ取り、ハロウイングし、悪意のあるライブラリをロードします。
Logtu マルウェアは、アップタイムのチェック、ファイルの削除、ファイルへのデータの書き込み、スクリーンショットの撮影、プロセスの起動と終了の両方を含む幅広いコマンドをサポートしています。