DEPLOYLOG

Çin destekli APT (Advanced Persistent Threat) grubu Winnti (APT41, BARIUM ve Blackfly olarak da bilinir) tarafından yıllarca süren bir siber casusluk saldırısı kampanyası gün ışığına çıkarıldı. Araştırmacılar tarafından hazırlanan bir raporda, bilgisayar korsanlarının bulaşma zincirinin tamamı kamuoyuna açıklandı. Tehdit operasyonu sırasında Winnti'nin planlar, özel veriler, diyagramlar ve çok daha fazlası dahil olmak üzere çok büyük miktarda gizli bilgiyi elde edebildiğine inanılıyor. Kurbanlar, teknoloji ve imalat endüstrilerinde faaliyet gösteren Kuzey Amerika, Avrupa ve Asya'dan şirketler.

Rapora göre, çok aşamalı enfeksiyon zincirinin son adımı, WINNKIT adlı özel bir kök setini dağıtıyor. Ancak, rootkit'i dağıtma, oluşturma ve etkinleştirme görevi DEPLOYLOG adlı ayrı bir kötü amaçlı yazılım tehdidine devredilmiştir. İhlal edilen sistemlere, meşru bir dosya olarak geçmek amacıyla C:\Windows\System32\WindowsPowerShell\v1.0 konumunda genel ve yaygın olarak kullanılan bir ad olan 64-bit DLL dosyası 'dbghelp.dll' olarak bırakılır.

DEPLOYLOG'un ilk büyük görevi WINNKIT kök setini dağıtmaktır. Bunu, bir CLFS günlük dosyasından son yükü çıkararak ve alınan içeriğin şifresini çözerek yapar. Ardından DEPLOYLOG, AMD K8 işlemci çekirdek sürücü hizmeti amdk8'i durduracak. Bu gerçek, WINNTI'nin AMD ile ilgili makinelerden ödün vermeye odaklandığına ve ayrıca kurbanlarının makinelerinin dahili altyapısı hakkında önceden bilgi sahibi olduğuna işaret edebilir.

DEPLOYLOG'un ikinci görevi, sistemde kullanıcı modu aracısı olarak hareket etmektir. Şu anda konuşlandırılmış rootkit ile operasyonun Komuta ve Kontrol (C2, C&C) sunucuları arasında bir köprü görevi görmeye çalışacaktır. Kötü amaçlı yazılım, C2 sunucularıyla iletişim kuracak ve daha sonra WINNKIT'in tehditkar sürücüsü tarafından ele geçirilecek olan verileri alacaktır. Aracı aracılığıyla Winnti saldırganları, virüslü sisteme yeni modüller yükleyebilir, bir CMD kabuğu açabilir, kimlik bilgisi toplama yükünü düşürebilir ve daha fazlasını yapabilir.