DEPLOYLOG
Μια πολυετής εκστρατεία επιθέσεων κυβερνοκατασκοπείας που πραγματοποιήθηκε από την υποστηριζόμενη από την Κίνα ομάδα APT (Advanced Persistent Threat) Winnti (επίσης γνωστή ως APT41, BARIUM και Blackfly) ήρθε στο φως. Σε μια έκθεση ερευνητών, ολόκληρη η αλυσίδα μόλυνσης των χάκερ αποκαλύφθηκε στο κοινό. Κατά τη διάρκεια της απειλητικής επιχείρησης, ο Winnti πιστεύεται ότι μπόρεσε να αποκτήσει τεράστιες ποσότητες εμπιστευτικών πληροφοριών, συμπεριλαμβανομένων σχεδίων, ιδιόκτητων δεδομένων, διαγραμμάτων και πολλά άλλα. Τα θύματα είναι εταιρείες από τη Βόρεια Αμερική, την Ευρώπη και την Ασία, που δραστηριοποιούνται στον κλάδο της τεχνολογίας και της μεταποίησης.
Σύμφωνα με την αναφορά, το τελευταίο βήμα της αλυσίδας μόλυνσης πολλαπλών σταδίων αναπτύσσει ένα προσαρμοσμένο rootkit που ονομάζεται WINNKIT . Ωστόσο, η εργασία ανάπτυξης, εγκατάστασης και ενεργοποίησης του rootkit ανατίθεται σε μια ξεχωριστή απειλή κακόβουλου λογισμικού που ονομάζεται DEPLOYLOG. Απορρίπτεται στα συστήματα που έχουν παραβιαστεί ως αρχείο DLL 64-bit «dbghelp.dll», ένα γενικό και κοινώς χρησιμοποιούμενο όνομα, στο C:\Windows\System32\WindowsPowerShell\v1.0 σε μια προσπάθεια να περάσει ως νόμιμο αρχείο.
Το πρώτο σημαντικό καθήκον του DEPLOYLOG είναι να αναπτύξει το rootkit WINNKIT. Αυτό το κάνει εξάγοντας το τελικό ωφέλιμο φορτίο από ένα αρχείο καταγραφής CLFS και αποκρυπτογραφώντας το περιεχόμενο που αποκτήθηκε. Στη συνέχεια, το DEPLOYLOG θα σταματήσει την υπηρεσία προγράμματος οδήγησης πυρήνα επεξεργαστή AMD K8 amdk8. Αυτό το γεγονός θα μπορούσε να υποδηλώνει ότι η WINNTI επικεντρώνεται σε διακυβευτικά μηχανήματα που σχετίζονται με την AMD και επίσης έχει προηγούμενη γνώση σχετικά με την εσωτερική υποδομή των μηχανημάτων των θυμάτων της
Το δεύτερο καθήκον του DEPLOYLOG είναι να ενεργεί ως πράκτορας λειτουργίας χρήστη στο σύστημα. Θα προσπαθήσει να λειτουργήσει ως γέφυρα μεταξύ του τώρα αναπτυσσόμενου rootkit και των διακομιστών Command-and-Control (C2, C&C) της λειτουργίας. Το κακόβουλο λογισμικό θα επικοινωνήσει με τους διακομιστές C2 και θα λάβει δεδομένα που στη συνέχεια θα υποκλαπούν από το απειλητικό πρόγραμμα οδήγησης του WINNKIT. Μέσω του πράκτορα, οι εισβολείς Winnti μπορούν να φορτώσουν νέες μονάδες στο μολυσμένο σύστημα, να ανοίξουν ένα κέλυφος CMD, να απορρίψουν ωφέλιμο φορτίο συλλογής διαπιστευτηρίων και πολλά άλλα.
