用于攻击东欧实体的 Logtu 恶意软件
安全研究人员发布了一份关于针对位于东欧和阿富汗的军事工业实体的一系列网络攻击的报告。这些攻击发生在 2022 年 1 月,与一名中国威胁行为者有关,其代号为 TA428。
网络攻击的目标是位于俄罗斯、白俄罗斯、乌克兰和阿富汗的军事工业工厂和研究设施。这些攻击使用了几种不同的恶意工具,其中一种被研究团队称为 Logtu。
该恶意软件是一种多用途工具,其部署方式与 TA428 使用的其他后门工具类似。最新版本的 Logtu 使用动态导入并对其函数名称采用 XOR 加密,以使检测更加困难。
虽然其他归因于 TA428 的后门工具使用系统进程的进程空心化,但 Logtu 使用相同的方法部署,但劫持和空心属于系统上运行的其他一些合法应用程序的进程,将恶意库加载到其中。
Logtu 恶意软件支持范围广泛的命令,包括检查正常运行时间、删除文件、将数据写入文件、截屏以及启动和终止进程。