DEPLOYLOG

Kiinan tukeman APT (Advanced Persistent Threat) -ryhmän Winnti (tunnetaan myös nimellä APT41, BARIUM ja Blackfly) vuosia kestänyt kybervakoiluhyökkäyskampanja on tuotu esille. Tutkijoiden raportissa hakkereiden koko tartuntaketju on paljastettu yleisölle. Uhkailuoperaation aikana Winntin uskotaan saaneen valtavia määriä luottamuksellista tietoa, mukaan lukien piirustuksia, omistustietoja, kaavioita ja paljon muuta. Uhrit ovat Pohjois-Amerikan, Euroopan ja Aasian yrityksiä, jotka toimivat teknologia- ja valmistusteollisuudessa.

Raportin mukaan monivaiheisen tartuntaketjun viimeinen vaihe ottaa käyttöön mukautetun rootkitin nimeltä WINNKIT . Rootkitin käyttöönotto, perustaminen ja aktivointi on kuitenkin delegoitu erilliselle haittaohjelmauhkalle nimeltä DEPLOYLOG. Se pudotetaan rikottuihin järjestelmiin 64-bittisenä DLL-tiedostona "dbghelp.dll", joka on yleinen ja yleisesti käytetty nimi, osoitteessa C:\Windows\System32\WindowsPowerShell\v1.0, jotta sitä yritetään siirtää laillisena tiedostona.

DEPLOYLOGin ensimmäinen tärkeä tehtävä on ottaa käyttöön WINNKIT-rootkit. Se tekee sen purkamalla lopullisen hyötykuorman CLFS-lokitiedostosta ja purkamalla hankitun sisällön salauksen. Seuraavaksi DEPLOYLOG pysäyttää AMD K8 -prosessorin ytimen ohjainpalvelun amdk8. Tämä seikka saattaa viitata siihen, että WINNTI keskittyy AMD:hen liittyvien koneiden vaarantamiseen ja sillä on myös aiempaa tietoa uhrien koneiden sisäisestä infrastruktuurista

DEPLOYLOGin toinen tehtävä on toimia käyttäjätilan agenttina järjestelmässä. Se yrittää toimia siltana nyt käyttöön otetun rootkitin ja operaation Command-and-Control (C2, C&C) palvelimien välillä. Haittaohjelma kommunikoi C2-palvelimien kanssa ja hankkii tietoja, jotka sitten uhkaava WINNKIT-ohjain siepataan. Agentin kautta Winnti-hyökkääjät voivat ladata uusia moduuleja tartunnan saaneeseen järjestelmään, avata CMD-kuoren, pudottaa tunnistetietoja keräävän hyötykuorman ja paljon muuta.