Malware Logtu usado em ataques a entidades do Leste Europeu
Pesquisadores de segurança publicaram um relatório sobre uma série de ataques cibernéticos contra entidades industriais militares localizadas na Europa Oriental e no Afeganistão. Os ataques ocorreram em janeiro de 2022 e estão vinculados a um agente de ameaça chinês que usa o designador TA428.
Os ataques cibernéticos tinham como alvo plantas industriais militares e instalações de pesquisa localizadas na Rússia, Bielorrússia, Ucrânia e Afeganistão. Os ataques empregaram várias ferramentas maliciosas diferentes, uma das quais foi chamada de Logtu pela equipe de pesquisa.
O malware é uma ferramenta multifuncional que é implantada de forma semelhante a outras ferramentas de backdoor usadas pelo TA428. As versões mais recentes do Logtu usam importações dinâmicas e empregam criptografia XOR para seus nomes de função para dificultar a detecção.
Enquanto outras ferramentas de backdoor atribuídas ao TA428 usam o processo de esvaziamento de um processo do sistema, o Logtu é implantado usando o mesmo método, mas sequestrando e esvaziando um processo pertencente a algum outro aplicativo legítimo em execução no sistema, carregando uma biblioteca maliciosa nele.
O malware Logtu suporta uma ampla gama de comandos que incluem verificação de tempo de atividade, exclusão de arquivos, gravação de dados em arquivos, capturas de tela e processos de inicialização e encerramento.