„Logtu“ kenkėjiška programa, naudojama atakuojant Rytų Europos subjektus

Saugumo tyrinėtojai paskelbė ataskaitą apie daugybę kibernetinių atakų, nukreiptų prieš karinės pramonės subjektus, esančius Rytų Europoje ir Afganistane. Išpuoliai įvyko 2022 m. sausio mėn. ir yra susiję su Kinijos grėsmių veikėju, vadinamu TA428.

Kibernetinės atakos buvo nukreiptos į karines pramonės gamyklas ir tyrimų objektus, esančius Rusijoje, Baltarusijoje, Ukrainoje ir Afganistane. Atakoms buvo naudojamos kelios skirtingos kenkėjiškos priemonės, iš kurių vieną tyrimo komanda pavadino Logtu.

Kenkėjiška programa yra daugiafunkcis įrankis, kuris yra įdiegtas panašiai kaip ir kiti TA428 naudojami galinių durų įrankiai. Naujausiose „Logtu“ versijose naudojamas dinaminis importavimas ir funkcijų pavadinimams naudojamas XOR šifravimas, kad aptikimas būtų sunkesnis.

Nors kiti užpakalinių durų įrankiai, priskirti TA428, naudoja sistemos proceso tuščiavidurį procesą, „Logtu“ yra įdiegtas naudojant tą patį metodą, tačiau užgrobiamas ir ištuštinamas procesas, priklausantis kuriai nors kitai teisėtai sistemoje veikiančiai programai, įkeliant į ją kenkėjišką biblioteką.

Kenkėjiška „Logtu“ programa palaiko daugybę komandų, įskaitant veikimo laiko patikrinimą, failų trynimą, duomenų įrašymą į failus, ekrano kopijų darymą ir procesų paleidimą bei užbaigimą.