安全研究人員發布了一份關於針對位於東歐和阿富汗的軍事工業實體的一系列網絡攻擊的報告。這些攻擊發生在 2022 年 1 月,與一名中國威脅行為者有關,其代號為 TA428。
網絡攻擊的目標是位於俄羅斯、白俄羅斯、烏克蘭和阿富汗的軍事工業工廠和研究設施。這些攻擊使用了幾種不同的惡意工具,其中一種被研究團隊稱為 Logtu。
該惡意軟件是一種多用途工具,其部署方式與 TA428 使用的其他後門工具類似。最新版本的 Logtu 使用動態導入並對其函數名稱採用 XOR 加密,以使檢測更加困難。
雖然其他歸因於 TA428 的後門工具使用系統進程的進程空心化,但 Logtu 使用相同的方法部署,但劫持和空心屬於系統上運行的其他一些合法應用程序的進程,將惡意庫加載到其中。
Logtu 惡意軟件支持範圍廣泛的命令,包括檢查正常運行時間、刪除文件、將數據寫入文件、截屏以及啟動和終止進程。
© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.
Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82,
Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.
Windows 是 Microsoft 在美国和其他国家/地区注册的商标。
Mac、iPhone、iPad 和 App Store 是 Apple Inc. 在美国和其他国家/地区注册的商标。
iOS 是 Cisco Systems, Inc. 和/或其附属公司在美国和某些其他国家/地区的注册商标。
Android 和 Google Play 是 Google LLC 的商标。
