Logtu Malware gebruikt bij aanvallen op Oost-Europese entiteiten
Beveiligingsonderzoekers publiceerden een rapport over een reeks cyberaanvallen gericht op militair-industriële entiteiten in Oost-Europa en Afghanistan. De aanvallen vonden plaats in januari 2022 en zijn gekoppeld aan een Chinese dreigingsactor met de naam TA428.
De cyberaanvallen waren gericht op militaire industriële installaties en onderzoeksfaciliteiten in Rusland, Wit-Rusland, Oekraïne en Afghanistan. De aanvallen maakten gebruik van verschillende kwaadaardige tools, waarvan er één Logtu werd genoemd door het onderzoeksteam.
De malware is een veelzijdige tool die op dezelfde manier wordt ingezet als andere backdoor-tools die door TA428 worden gebruikt. De nieuwste versies van Logtu gebruiken dynamische imports en gebruiken XOR-codering voor de functienamen om detectie te bemoeilijken.
Terwijl andere backdoor-tools die aan TA428 worden toegeschreven, procesuitholling van een systeemproces gebruiken, wordt Logtu ingezet met dezelfde methode, maar het kapen en uithollen van een proces dat behoort tot een andere legitieme applicatie die op het systeem draait, waarbij een schadelijke bibliotheek erin wordt geladen.
De Logtu-malware ondersteunt een breed scala aan opdrachten, waaronder het controleren van de uptime, het verwijderen van bestanden, het schrijven van gegevens naar bestanden, het maken van screenshots en zowel het starten als beëindigen van processen.