Logtu Malware brukt i angrep på østeuropeiske enheter

Sikkerhetsforskere publiserte en rapport om en serie cyberangrep rettet mot militære industrielle enheter lokalisert i Øst-Europa og Afghanistan. Angrepene fant sted tilbake i januar 2022 og er knyttet til en kinesisk trusselaktør som går av betegnelsen TA428.

Cyberangrepene var rettet mot militære industrianlegg og forskningsanlegg i Russland, Hviterussland, Ukraina og Afghanistan. Angrepene brukte flere forskjellige ondsinnede verktøy, hvorav ett ble kalt Logtu av forskerteamet.

Skadevaren er et flerbruksverktøy som distribueres på samme måte som andre bakdørsverktøy som brukes av TA428. De nyeste versjonene av Logtu bruker dynamisk import og bruker XOR-kryptering for funksjonsnavnene for å gjøre gjenkjenning vanskeligere.

Mens andre bakdørsverktøy som tilskrives TA428 bruker prosessuthuling av en systemprosess, distribueres Logtu ved å bruke samme metode, men kapring og uthuling av en prosess som tilhører en annen legitim applikasjon som kjører på systemet, laster et ondsinnet bibliotek inn i det.

Logtu malware støtter et bredt spekter av kommandoer som inkluderer å sjekke oppetid, slette filer, skrive data til filer, ta skjermbilder og både starte og avslutte prosesser.