Złośliwe oprogramowanie Logtu wykorzystywane w atakach na podmioty z Europy Wschodniej

Badacze bezpieczeństwa opublikowali raport na temat serii cyberataków wymierzonych w wojskowe jednostki przemysłowe zlokalizowane w Europie Wschodniej i Afganistanie. Ataki miały miejsce w styczniu 2022 r. i są powiązane z chińskim podmiotem zajmującym się zagrożeniami o oznaczeniu TA428.

Celem cyberataków były wojskowe zakłady przemysłowe i ośrodki badawcze zlokalizowane w Rosji, Białorusi, Ukrainie i Afganistanie. Ataki wykorzystywały kilka różnych szkodliwych narzędzi, z których jedno zostało nazwane przez zespół badawczy Logtu.

Złośliwe oprogramowanie jest narzędziem wielofunkcyjnym, które jest wdrażane podobnie do innych narzędzi backdoora używanych przez TA428. Najnowsze wersje Logtu używają dynamicznego importu i wykorzystują szyfrowanie XOR dla nazw funkcji, aby utrudnić wykrywanie.

Podczas gdy inne narzędzia backdoora przypisane do TA428 wykorzystują proces wydrążenia procesu systemowego, Logtu jest wdrażany przy użyciu tej samej metody, ale przechwytuje i wydrąża proces należący do innej legalnej aplikacji działającej w systemie, ładując do niego złośliwą bibliotekę.

Szkodliwe oprogramowanie Logtu obsługuje szeroką gamę poleceń, które obejmują sprawdzanie czasu działania, usuwanie plików, zapisywanie danych do plików, wykonywanie zrzutów ekranu oraz uruchamianie i kończenie procesów.