DEPLOYLOG

Na světlo se dostala letitá kyberšpionážní útočná kampaň prováděná Čínou podporovanou skupinou APT (Advanced Persistent Threat) Winnti (také známá jako APT41, BARIUM a Blackfly). Ve zprávě výzkumníků byl veřejnosti odhalen celý infekční řetězec hackerů. Věří se, že během hrozivé operace byl Winnti schopen získat obrovské množství důvěrných informací, včetně plánů, proprietárních dat, diagramů a mnoho dalšího. Obětí jsou společnosti ze Severní Ameriky, Evropy a Asie, které působí v technologickém a výrobním průmyslu.

Podle zprávy je posledním krokem vícefázového infekčního řetězce nasazení vlastního rootkitu s názvem WINNKIT . Úkol nasazení, zřízení a aktivace rootkitu je však delegován na samostatnou malwarovou hrozbu s názvem DEPLOYLOG. Je vypuštěn na narušené systémy jako 64bitový soubor DLL 'dbghelp.dll, což je obecný a běžně používaný název, na C:\Windows\System32\WindowsPowerShell\v1.0 ve snaze projít jako legitimní soubor.

Prvním hlavním úkolem DEPLOYLOG je nasazení rootkitu WINNKIT. Činí tak extrahováním konečného užitečného zatížení ze souboru protokolu CLFS a dešifrováním získaného obsahu. Dále DEPLOYLOG zastaví službu ovladače jádra procesoru AMD K8 amdk8. Tato skutečnost by mohla naznačovat, že WINNTI se zaměřuje na kompromitování počítačů souvisejících s AMD a má také předchozí znalosti o vnitřní infrastruktuře počítačů svých obětí.

Druhým úkolem DEPLOYLOG je fungovat jako agent uživatelského režimu v systému. Pokusí se fungovat jako most mezi nyní nasazeným rootkitem a servery Command-and-Control (C2, C&C) operace. Malware bude komunikovat se servery C2 a získávat data, která pak zachytí ohrožující ovladač WINNKIT. Prostřednictvím agenta mohou útočníci Winnti nahrát nové moduly do infikovaného systému, otevřít CMD shell, zahodit užitečné zatížení pro shromažďování pověření a další.