用於攻擊東歐實體的 Logtu 惡意軟件
安全研究人員發布了一份關於針對位於東歐和阿富汗的軍事工業實體的一系列網絡攻擊的報告。這些攻擊發生在 2022 年 1 月,與一名中國威脅行為者有關,其代號為 TA428。
網絡攻擊的目標是位於俄羅斯、白俄羅斯、烏克蘭和阿富汗的軍事工業工廠和研究設施。這些攻擊使用了幾種不同的惡意工具,其中一種被研究團隊稱為 Logtu。
該惡意軟件是一種多用途工具,其部署方式與 TA428 使用的其他後門工具類似。最新版本的 Logtu 使用動態導入並對其函數名稱採用 XOR 加密,以使檢測更加困難。
雖然其他歸因於 TA428 的後門工具使用系統進程的進程空心化,但 Logtu 使用相同的方法部署,但劫持和空心屬於系統上運行的其他一些合法應用程序的進程,將惡意庫加載到其中。
Logtu 惡意軟件支持範圍廣泛的命令,包括檢查正常運行時間、刪除文件、將數據寫入文件、截屏以及啟動和終止進程。