Llicències per a diversos dispositius (descomptes per volum)
Threat Database Malware DEPLOYLOG

DEPLOYLOG

El Mezo el Malware, Advanced Persistent Threat (APT)
Traduir a:
Català

S'ha tret a la llum una campanya d'atac de ciberespionatge durant anys realitzada pel grup APT (Amenaça persistent avançada) Winnti (també conegut com APT41, BARIUM i Blackfly). En un informe dels investigadors, s'ha revelat al públic tota la cadena d'infecció dels pirates informàtics. Durant l'operació amenaçadora, es creu que Winnti va poder obtenir grans quantitats d'informació confidencial, inclosos plànols, dades de propietat, diagrames i molt més. Les víctimes són empreses d'Amèrica del Nord, Europa i Àsia, que operen en les indústries tecnològiques i de fabricació.

Segons l'informe, el pas final de la cadena d'infecció en diverses etapes desplega un rootkit personalitzat anomenat WINNKIT . Tanmateix, la tasca de desplegar, establir i activar el rootkit es delega a una amenaça de programari maliciós independent anomenada DEPLOYLOG. Es deixa caure als sistemes violats com a fitxer DLL de 64 bits "dbghelp.dll", un nom genèric i d'ús habitual, a C:\Windows\System32\WindowsPowerShell\v1.0 en un intent de passar com a fitxer legítim.

La primera tasca important de DEPLOYLOG és desplegar el rootkit WINNKIT. Ho fa extreu la càrrega útil final d'un fitxer de registre CLFS i desxifra el contingut adquirit. A continuació, DEPLOYLOG aturarà el servei de controladors del nucli del processador AMD K8 amdk8. Aquest fet podria indicar que WINNTI es centra a comprometre les màquines relacionades amb AMD i també té coneixements previs sobre la infraestructura interna de les màquines de les seves víctimes.

La segona tasca de DEPLOYLOG és actuar com a agent en mode d'usuari al sistema. Intentarà actuar com a pont entre el rootkit ara desplegat i els servidors de comandament i control (C2, C&C) de l'operació. El programari maliciós es comunicarà amb els servidors C2 i obtindrà dades que després seran interceptades pel controlador amenaçador de WINNKIT. Mitjançant l'agent, els atacants de Winnti poden carregar nous mòduls al sistema infectat, obrir un intèrpret de comandaments CMD, deixar anar la càrrega útil de recollida de credencials i molt més.

Tendència

Més vist

Carregant...