DEPLOYLOG

تم تسليط الضوء على حملة هجوم تجسس إلكتروني استمرت لسنوات نفذتها مجموعة Winnti (التهديد المستمر المتقدم) APT المدعومة من الصين (المعروفة أيضًا باسم APT41 و BARIUM و Blackfly). في تقرير صادر عن الباحثين ، تم الكشف عن سلسلة إصابة المتسللين بأكملها للجمهور. أثناء عملية التهديد ، يُعتقد أن Winnti كان قادرًا على الحصول على كميات هائلة من المعلومات السرية ، بما في ذلك المخططات والبيانات الخاصة والمخططات وغير ذلك الكثير. الضحايا هم شركات من أمريكا الشمالية وأوروبا وآسيا ، تعمل في مجال التكنولوجيا والصناعات التحويلية.

وفقًا للتقرير ، فإن الخطوة الأخيرة من سلسلة العدوى متعددة المراحل تنشر برنامج rootkit مخصصًا يطلق عليه اسم WINNKIT . ومع ذلك ، فإن مهمة نشر وإنشاء وتنشيط الجذور الخفية يتم تفويضها إلى تهديد برمجيات خبيثة منفصل يسمى DEPLOYLOG. يتم إسقاطه على الأنظمة التي تم اختراقها كملف DLL 64 بت "dbghelp.dll" ، وهو اسم عام وشائع الاستخدام ، في C: \ Windows \ System32 \ WindowsPowerShell \ v1.0 في محاولة لتمريره كملف شرعي.

أول مهمة رئيسية لـ DEPLOYLOG هي نشر WINNKIT rootkit. يقوم بذلك عن طريق استخراج الحمولة النهائية من ملف سجل CLFS وفك تشفير المحتوى الذي تم الحصول عليه. بعد ذلك ، سيقوم DEPLOYLOG بإيقاف خدمة تشغيل kernel للمعالج AMD K8 amdk8. يمكن أن تشير هذه الحقيقة إلى أن WINNTI تركز على المساومة على الأجهزة ذات الصلة بـ AMD وكذلك امتلاك معرفة مسبقة بالبنية التحتية الداخلية لأجهزة الضحايا.

المهمة الثانية لـ DEPLOYLOG هي العمل كعامل وضع مستخدم على النظام. سيحاول العمل كجسر بين مجموعة أدوات الجذر التي تم نشرها الآن وخوادم الأوامر والتحكم (C2 ، C&C) للعملية. ستتواصل البرامج الضارة مع خوادم C2 وتحصل على البيانات التي سيتم اعتراضها بعد ذلك من قبل السائق المهدد WINNKIT. من خلال الوكيل ، يمكن لمهاجمي Winnti تحميل وحدات جديدة على النظام المصاب ، وفتح غلاف CMD ، وإسقاط حمولة جمع بيانات الاعتماد والمزيد.