Logtu

Logtu est l'une des six menaces malveillantes déployées dans le cadre d'une série d'attaques contre des institutions publiques et des entreprises militaires dans plusieurs pays d'Europe de l'Est, ainsi qu'en Afghanistan. Ces campagnes menaçantes sont attribuées à un groupe APT (Advanced Persistent Threat) soutenu par la Chine suivi par des chercheurs en cybersécurité sous le nom de TA428. Selon les chercheurs, les acteurs de la menace ont pu compromettre des dizaines de cibles. Les pirates ont même pris le contrôle de l'infrastructure informatique de certaines de leurs victimes, prenant le contrôle de systèmes conçus pour gérer les solutions de sécurité.

TA428 a créé des e-mails spéciaux de leurre de harponnage contenant des données pertinentes pour l'entité ciblée. Dans certains cas, les attaquants ont même inclus des informations qui ne sont pas accessibles au public, indiquant leur engagement à violer l'organisation. Les pirates peuvent avoir recueilli les données d'attaques précédentes contre la cible ou ses employés, ainsi que d'entreprises compromises travaillant en étroite collaboration avec les victimes choisies code.

Détails de connexion

Logtu fait partie des six menaces de logiciels malveillants rejetées par TA428. Il s'agit d'une menace observée lors d'attaques précédentes qui auraient été menées par le même groupe APT. La menace a subi des changements importants, les versions récentes évitant la détection via l'utilisation d'importations dynamiques et de noms de fonction chiffrés XOR. Dans le cadre de son déploiement sur l'appareil piraté, Logtu utilise une technique de creusement de processus qui charge une bibliothèque corrompue dans un processus logiciel légitime, au lieu d'un processus système.

Une fois entièrement activé, Logtu peut exécuter un large éventail de fonctions intrusives. Il peut écrire des données dans les fichiers choisis, supprimer des fichiers, obtenir et exfiltrer des informations sur les fichiers, lancer des programmes et créer des processus, faire des captures d'écran, obtenir une liste des services enregistrés et lancer des services spécifiés, etc. La menace concerne principalement l'obtention d'ensembles spécifiques de données indiquant que l'objectif des attaques est le cyberespionnage.