DEPLOYLOG

En årelang cyberspionageangrebskampagne udført af den kinesisk-støttede APT-gruppe (Advanced Persistent Threat) Winnti (også kendt som APT41, BARIUM og Blackfly) er blevet bragt frem i lyset. I en rapport fra forskere er hele hackernes infektionskæde blevet afsløret for offentligheden. Under den truende operation menes Winnti at have været i stand til at få fat i enorme mængder af fortrolig information, inklusive tegninger, proprietære data, diagrammer og meget mere. Ofrene er virksomheder fra Nordamerika, Europa og Asien, der opererer i teknologi- og fremstillingsindustrien.

Ifølge rapporten implementerer det sidste trin i flertrinsinfektionskæden et brugerdefineret rootkit kaldet WINNKIT . Opgaven med at implementere, etablere og aktivere rootkittet er dog delegeret til en separat malwaretrussel ved navn DEPLOYLOG. Det er droppet på de brudte systemer som en 64-bit DLL-fil 'dbghelp.dll', et generisk og almindeligt brugt navn, på C:\Windows\System32\WindowsPowerShell\v1.0 i et forsøg på at passere som en legitim fil.

Den første store opgave for DEPLOYLOG er at implementere WINNKIT rootkit. Det gør det ved at udtrække den endelige nyttelast fra en CLFS-logfil og dekryptere det erhvervede indhold. Dernæst vil DEPLOYLOG stoppe AMD K8-processorkernedrivertjenesten amdk8. Dette faktum kunne pege på, at WINNTI er fokuseret på at kompromittere AMD-relaterede maskiner og også have forudgående viden om den interne infrastruktur af deres ofres maskiner

Den anden opgave for DEPLOYLOG er at fungere som en user-mode agent på systemet. Det vil forsøge at fungere som en bro mellem det nu installerede rootkit og operationens Command-and-Control-servere (C2, C&C). Malwaren vil kommunikere med C2-serverne og indhente data, som derefter vil blive opsnappet af den truende driver af WINNKIT. Gennem agenten kan Winnti-angriberne indlæse nye moduler på det inficerede system, åbne en CMD-shell, droppe legitimationsindsamlingsnyttelast og mere.