DEPLOYLOG

یک کمپین حملات جاسوسی سایبری چندین ساله که توسط گروه APT (تهدید پایدار پیشرفته) Winnti (همچنین به نام‌های APT41، BARIUM و Blackfly شناخته می‌شود) تحت حمایت چین انجام شده است. در گزارشی توسط محققان، کل زنجیره عفونت هکرها برای عموم آشکار شده است. در طول عملیات تهدید آمیز، اعتقاد بر این است که Winnti توانسته است مقادیر زیادی از اطلاعات محرمانه، از جمله نقشه‌ها، داده‌های اختصاصی، نمودارها و موارد دیگر را به دست آورد. قربانیان شرکت هایی از آمریکای شمالی، اروپا و آسیا هستند که در صنایع فناوری و تولید فعالیت می کنند.

بر اساس این گزارش، مرحله نهایی زنجیره عفونت چند مرحله ای، یک روت کیت سفارشی با نام WINNKIT را به کار می گیرد. با این حال، وظیفه استقرار، ایجاد و فعال سازی روت کیت به یک تهدید بدافزار جداگانه به نام DEPLOYLOG واگذار می شود. به عنوان یک فایل DLL 64 بیتی «dbghelp.dll»، یک نام عمومی و رایج، در C:\Windows\System32\WindowsPowerShell\v1.0 در تلاش برای ارسال به عنوان یک فایل قانونی، روی سیستم های نقض شده حذف می شود.

اولین وظیفه اصلی DEPLOYLOG استقرار روت کیت WINNKIT است. این کار را با استخراج بار نهایی از یک فایل گزارش CLFS و رمزگشایی محتوای به دست آمده انجام می دهد. در مرحله بعد، DEPLOYLOG سرویس درایور هسته پردازنده AMD K8 amdk8 را متوقف خواهد کرد. این واقعیت می تواند به تمرکز WINNTI بر روی دستگاه های مرتبط با AMD و همچنین داشتن دانش قبلی در مورد زیرساخت داخلی ماشین های قربانیان خود اشاره کند.

وظیفه دوم DEPLOYLOG این است که به عنوان یک عامل حالت کاربر در سیستم عمل کند. سعی خواهد کرد به عنوان پلی بین rootkit که اکنون مستقر شده و سرورهای Command-and-Control (C2, C&C) عملیات عمل کند. بدافزار با سرورهای C2 ارتباط برقرار می کند و داده هایی را به دست می آورد که سپس توسط راننده تهدید کننده WINNKIT رهگیری می شود. از طریق عامل، مهاجمان Winnti می‌توانند ماژول‌های جدید را روی سیستم آلوده بارگذاری کنند، پوسته CMD را باز کنند، بار جمع‌آوری اعتبار را رها کنند و موارد دیگر.