Лицензи за множество устройства (Отстъпки за количество)
Threat Database Malware DEPLOYLOG

DEPLOYLOG

До Mezo през Malware, Advanced Persistent Threat (APT)г
Превод на:
български език

Дългогодишната кампания за кибершпионажна атака, провеждана от подкрепяната от Китай APT (Advanced Persistent Threat) група Winnti (известна още като APT41, BARIUM и Blackfly), беше изведена на бял свят. В доклад на изследователи цялата верига на заразяване на хакерите е разкрита на обществеността. По време на заплашващата операция се смята, че Winnti е успял да получи огромни количества поверителна информация, включително чертежи, собствени данни, диаграми и много други. Жертвите са компании от Северна Америка, Европа и Азия, работещи в технологичната и производствената индустрия.

Според доклада, последната стъпка от многоетапната верига за заразяване разгръща персонализиран руткит, наречен WINNKIT . Въпреки това, задачата за разполагане, установяване и активиране на руткита е делегирана на отделна заплаха за злонамерен софтуер, наречена DEPLOYLOG. Той се пуска на взломените системи като 64-битов DLL файл „dbghelp.dll“, общо и често използвано име, в C:\Windows\System32\WindowsPowerShell\v1.0 в опит да премине като легитимен файл.

Първата основна задача на DEPLOYLOG е да разположи руткита на WINNKIT. Това прави чрез извличане на крайния полезен товар от лог файл на CLFS и декриптиране на придобитото съдържание. След това DEPLOYLOG ще спре услугата за драйвер на ядрото на процесора AMD K8 amdk8. Този факт може да сочи към това, че WINNTI се фокусира върху компрометиране на свързани с AMD машини и също така да има предварителни познания за вътрешната инфраструктура на машините на жертвите си

Втората задача на DEPLOYLOG е да действа като агент за потребителски режим в системата. Той ще се опита да действа като мост между сега внедрения руткит и сървърите за командване и управление (C2, C&C) на операцията. Зловредният софтуер ще комуникира със сървърите C2 и ще получи данни, които след това ще бъдат прихванати от заплашителния драйвер на WINNKIT. Чрез агента нападателите на Winnti могат да заредят нови модули в заразената система, да отворят CMD обвивка, да пуснат полезен товар за събиране на идентификационни данни и др.

Тенденция

Най-гледан

Зареждане...