Logtu

Logtu は、アフガニスタンだけでなく、東ヨーロッパの複数の国で公的機関や軍事企業に対する一連の攻撃の一環として展開された 6 つのマルウェア脅威の 1 つです。これらの脅迫的なキャンペーンは、サイバーセキュリティ研究者が TA428 として追跡している、中国が支援する APT (Advanced Persistent Threat) グループによるものです。研究者によると、攻撃者は数十の標的を侵害することができました。ハッカーは、被害者の一部の IT インフラストラクチャを乗っ取り、セキュリティ ソリューションを管理するために設計されたシステムを制御することさえできました。

TA428 は、標的のエンティティに関連するデータを含む特別なスピア フィッシングのおとりメールを作成しました。場合によっては、攻撃者は公開されていない情報を含めて、組織への侵入を意図していることを示しています。ハッカーは、ターゲットまたはその従業員に対する以前の攻撃からデータを収集した可能性があります。また、選択した被害者と密接に協力している侵害された企業からデータを収集した可能性があります。コード。

ログトゥの詳細

Logtu は、TA428 によって投下された 6 つのマルウェア脅威の 1 つです。これは、同じ APT グループによって実行されたと考えられる以前の攻撃で観察された脅威です。この脅威は大幅に変更されており、最近のバージョンでは動的インポートと XOR 暗号化された関数名を使用して検出を回避しています。侵害されたデバイスへの展開の一環として、Logtu は、破損したライブラリをシステム プロセスではなく、正当なソフトウェア プロセスにロードするプロセス ハロウイング技術を利用します。

完全にアクティブ化されると、Logtu はさまざまな侵入機能を実行できます。選択したファイルへのデータの書き込み、ファイルの削除、ファイル情報の取得と抽出、プログラムの起動とプロセスの作成、スクリーンショットの作成、登録済みサービスのリストの取得と指定されたサービスの起動などを行うことができます。この脅威は主に、攻撃の目的であるサイバースパイ活動を指し示す特定のデータセットを取得することに関係しています。