DEPLOYLOG
চীনা-সমর্থিত APT (Advanced Persistent Threat) গ্রুপ Winnti (এটি APT41, BARIUM, এবং Blackfly নামেও পরিচিত) দ্বারা পরিচালিত একটি বছরব্যাপী সাইবার গুপ্তচরবৃত্তির অভিযানের বিষয়টি প্রকাশ্যে আনা হয়েছে। গবেষকদের একটি প্রতিবেদনে, হ্যাকারদের সম্পূর্ণ সংক্রমণ চেইন জনসাধারণের কাছে প্রকাশ করা হয়েছে। হুমকিমূলক অপারেশন চলাকালীন, উইনটি ব্লুপ্রিন্ট, মালিকানাধীন ডেটা, ডায়াগ্রাম এবং আরও অনেক কিছু সহ প্রচুর পরিমাণে গোপনীয় তথ্য পেতে সক্ষম হয়েছিল বলে মনে করা হয়। ক্ষতিগ্রস্তরা হল উত্তর আমেরিকা, ইউরোপ এবং এশিয়ার কোম্পানি, যারা প্রযুক্তি ও উৎপাদন শিল্পে কাজ করে।
রিপোর্ট অনুযায়ী, মাল্টি-স্টেজ ইনফেকশন চেইনের চূড়ান্ত ধাপে WINNKIT নামে একটি কাস্টম রুটকিট স্থাপন করা হয়েছে। যাইহোক, রুটকিট স্থাপন, স্থাপন এবং সক্রিয় করার কাজটি DEPLOYLOG নামে একটি পৃথক ম্যালওয়্যার হুমকির কাছে অর্পণ করা হয়েছে। এটি লঙ্ঘিত সিস্টেমে একটি 64-বিট DLL ফাইল 'dbghelp.dll' হিসাবে ড্রপ করা হয়, একটি জেনেরিক এবং সাধারণত ব্যবহৃত নাম, C:\Windows\System32\WindowsPowerShell\v1.0 এ বৈধ ফাইল হিসাবে পাস করার প্রয়াসে।
DEPLOYLOG এর প্রথম প্রধান কাজ হল WINNKIT রুটকিট স্থাপন করা। এটি একটি CLFS লগ ফাইল থেকে চূড়ান্ত পেলোড বের করে এবং অর্জিত বিষয়বস্তু ডিক্রিপ্ট করে তা করে। পরবর্তী, DEPLOYLOG AMD K8 প্রসেসর কার্নেল ড্রাইভার পরিষেবা amdk8 বন্ধ করবে। এই সত্যটি WINNTI-এর দিকে নির্দেশ করতে পারে যে AMD- সম্পর্কিত মেশিনগুলির সাথে আপস করার দিকে মনোনিবেশ করা হয়েছে এবং তাদের শিকারের মেশিনগুলির অভ্যন্তরীণ অবকাঠামো সম্পর্কে পূর্ব জ্ঞান রয়েছে।
DEPLOYLOG-এর দ্বিতীয় কাজ হল সিস্টেমে ব্যবহারকারী-মোড এজেন্ট হিসেবে কাজ করা। এটি এখন মোতায়েন করা রুটকিট এবং অপারেশনের কমান্ড-এন্ড-কন্ট্রোল (C2, C&C) সার্ভারের মধ্যে সেতু হিসেবে কাজ করার চেষ্টা করবে। ম্যালওয়্যারটি C2 সার্ভারের সাথে যোগাযোগ করবে এবং ডেটা প্রাপ্ত করবে যা পরবর্তীতে WINNKIT-এর হুমকিদাতা ড্রাইভার দ্বারা আটকানো হবে। এজেন্টের মাধ্যমে, Winnti আক্রমণকারীরা সংক্রমিত সিস্টেমে নতুন মডিউল লোড করতে পারে, একটি CMD শেল খুলতে পারে, শংসাপত্র-সংগ্রহকারী পেলোড ড্রপ করতে পারে এবং আরও অনেক কিছু করতে পারে।
