DEPLOYLOG

Aastaid kestnud küberspionaaži rünnakukampaania, mille viis läbi Hiina toetatud APT (Advanced Persistent Threat) rühmitus Winnti (tuntud ka kui APT41, BARIUM ja Blackfly), on päevavalgele toodud. Teadlaste raportis on avalikkusele avalikustatud kogu häkkerite nakkusahel. Usutavasti suutis Winnti ähvardava operatsiooni käigus hankida tohutul hulgal konfidentsiaalset teavet, sealhulgas jooniseid, varalisi andmeid, diagramme ja palju muud. Ohvriteks on Põhja-Ameerika, Euroopa ja Aasia ettevõtted, mis tegutsevad tehnoloogia- ja tootmistööstuses.

Aruande kohaselt rakendab mitmeastmelise nakkusahela viimane etapp kohandatud juurkomplekti nimega WINNKIT . Kuid juurkomplekti juurutamise, loomise ja aktiveerimise ülesanne on delegeeritud eraldi pahavaraohule nimega DEPLOYLOG. See eemaldatakse rikutud süsteemidesse 64-bitise DLL-failina "dbghelp.dll", mis on üldine ja sageli kasutatav nimi, aadressil C:\Windows\System32\WindowsPowerShell\v1.0, püüdes edastada seda seadusliku failina.

DEPLOYLOGi esimene suurem ülesanne on juurutada WINNKIT juurkomplekt. Selleks eraldab see CLFS-i logifailist lõpliku kasuliku koormuse ja dekrüpteerib hangitud sisu. Järgmisena peatab DEPLOYLOG AMD K8 protsessori tuuma draiveriteenuse amdk8. See asjaolu võib viidata sellele, et WINNTI keskendub AMD-ga seotud masinate kompromiteerimisele ja omab ka eelteadmisi oma ohvrite masinate sisemise infrastruktuuri kohta

DEPLOYLOGi teine ülesanne on toimida süsteemis kasutajarežiimi agendina. See üritab toimida sillana nüüd juurutatud juurkomplekti ja operatsiooni käsu-ja juhtimise (C2, C&C) serverite vahel. Pahavara suhtleb C2 serveritega ja hangib andmeid, mis seejärel WINNKITi ähvardava draiveri poolt kinni püütakse. Agendi kaudu saavad Winnti ründajad laadida nakatunud süsteemi uusi mooduleid, avada CMD-kesta, loobuda mandaatide kogumisest ja palju muud.