Вредоносное ПО Logtu, используемое в атаках на восточноевропейские организации

Исследователи безопасности опубликовали отчет о серии кибератак на военно-промышленные предприятия, расположенные в Восточной Европе и Афганистане. Атаки были совершены еще в январе 2022 года и связаны с китайским злоумышленником под ником TA428.

Кибератаки были направлены на военно-промышленные предприятия и исследовательские центры, расположенные в России, Беларуси, Украине и Афганистане. В атаках использовалось несколько различных вредоносных инструментов, один из которых исследовательская группа назвала Logtu.

Вредоносная программа представляет собой многоцелевой инструмент, который развертывается аналогично другим бэкдор-инструментам, используемым TA428. В последних версиях Logtu используется динамический импорт и шифрование XOR для имен функций, чтобы затруднить обнаружение.

В то время как другие бэкдор-инструменты, приписываемые TA428, используют очистку системного процесса, Logtu развертывается с использованием того же метода, но перехватывает и очистит процесс, принадлежащий другому законному приложению, работающему в системе, загружая в него вредоносную библиотеку.

Вредоносная программа Logtu поддерживает широкий спектр команд, включая проверку времени безотказной работы, удаление файлов, запись данных в файлы, создание снимков экрана, а также запуск и завершение процессов.