DEPLOYLOG

מסע תקיפות ריגול סייבר בן שנים שבוצע על ידי קבוצת APT (Advanced Persistent Threat) בגיבוי סיני Winnti (הידוע גם בשם APT41, BARIUM ו-Blackfly) הובא לאור. בדיווח של חוקרים נחשפה לציבור כל שרשרת ההדבקה של ההאקרים. במהלך המבצע המאיים, מאמינים כי Winnti הצליח להשיג כמויות אדירות של מידע סודי, כולל שרטוטים, נתונים קנייניים, דיאגרמות ועוד הרבה יותר. הקורבנות הם חברות מצפון אמריקה, אירופה ואסיה, הפועלות בתעשיות הטכנולוגיה והייצור.

לפי הדיווח, השלב האחרון בשרשרת ההדבקה הרב-שלבית פורס ערכת שורש מותאמת אישית המכונה WINNKIT . עם זאת, המשימה של פריסה, הקמה והפעלה של ה-rootkit מואצלת לאיום תוכנה זדונית נפרד בשם DEPLOYLOG. הוא נשמט על המערכות הפורצות כקובץ DLL של 64 סיביות 'dbghelp.dll', שם כללי ונפוץ, ב-C:\Windows\System32\WindowsPowerShell\v1.0 בניסיון לעבור כקובץ לגיטימי.

המשימה העיקרית הראשונה של DEPLOYLOG היא לפרוס את WINNKIT rootkit. הוא עושה זאת על ידי חילוץ המטען הסופי מקובץ יומן CLFS ופענוח התוכן הנרכש. בשלב הבא, DEPLOYLOG יעצור את שירות מנהל ההתקן של ליבת מעבד AMD K8 amdk8. עובדה זו עשויה להצביע על כך ש-WINNTI מתמקדת בפגיעה במכונות הקשורות ל-AMD וגם בעלת ידע מוקדם על התשתית הפנימית של המכונות של הקורבנות שלהם.

המשימה השנייה של DEPLOYLOG היא לפעול כסוכן במצב משתמש במערכת. הוא ינסה לשמש כגשר בין ה-rootkit שנפרס כעת לבין שרתי ה-Command-and-Control (C2, C&C) של הפעולה. התוכנה הזדונית תתקשר עם שרתי C2 ותשיג נתונים שיירטו לאחר מכן על ידי הנהג המאיים של WINNKIT. באמצעות הסוכן, תוקפי Winnti יכולים לטעון מודולים חדשים על המערכת הנגועה, לפתוח מעטפת CMD, להוריד מטען איסוף אישורים ועוד.