Logtu
Logtu es una de las seis amenazas de malware desplegadas como parte de una serie de ataques contra instituciones públicas y empresas militares en varios países de Europa del Este, así como en Afganistán. Estas campañas amenazantes se atribuyen a un grupo APT (Advanced Persistent Threat) respaldado por China, rastreado por investigadores de ciberseguridad como TA428. Según los investigadores, los actores de amenazas han podido comprometer docenas de objetivos. Los piratas informáticos incluso se apoderaron de la infraestructura de TI de algunas de sus víctimas y obtuvieron el control de los sistemas diseñados para administrar las soluciones de seguridad.
TA428 elaboró correos electrónicos especiales de señuelos de phishing selectivo que contenían datos relevantes para la entidad objetivo. En algunos casos, los atacantes incluso incluyeron información que no está disponible públicamente, lo que indica su compromiso de violar la organización. Los piratas informáticos pueden haber recopilado los datos de ataques anteriores contra el objetivo o sus empleados, así como de empresas comprometidas que trabajan en estrecha colaboración con las víctimas elegidas Los correos electrónicos de phishing contienen documentos de Microsoft Word armados que pueden aprovechar la vulnerabilidad CVE-2017-11882 para ejecutar código.
Detalles de registro
Logtu se encuentra entre las seis amenazas de malware eliminadas por TA428. Es una amenaza observada en ataques anteriores que se cree que fueron realizados por el mismo grupo APT. La amenaza ha sufrido cambios significativos, con versiones recientes que evitan la detección mediante el uso de importaciones dinámicas y nombres de funciones encriptados XOR. Como parte de su implementación en el dispositivo violado, Logtu utiliza una técnica de vaciado de procesos que carga una biblioteca corrupta en un proceso de software legítimo, en lugar de uno del sistema.
Una vez completamente activado, Logtu puede realizar una amplia gama de funciones intrusivas. Puede escribir datos en archivos seleccionados, eliminar archivos, obtener y filtrar información de archivos, iniciar programas y crear procesos, hacer capturas de pantalla, obtener una lista de servicios registrados e iniciar servicios específicos y más. La amenaza se refiere principalmente a la obtención de conjuntos específicos de datos que apuntan hacia el objetivo de los ataques que son el espionaje cibernético.
