DEPLOYLOG
चीनी समर्थित एपीटी (एडवांस्ड पर्सिस्टेंट थ्रेट) ग्रुप Winnti (जिसे एपीटी41, बेरियम और ब्लैकफ्लाई के नाम से भी जाना जाता है) द्वारा चलाए जा रहे साइबर जासूसी हमले के अभियान को प्रकाश में लाया गया है। शोधकर्ताओं की एक रिपोर्ट में हैकर्स की पूरी इंफेक्शन चेन जनता के सामने आ गई है। माना जाता है कि धमकी भरे ऑपरेशन के दौरान, विन्टी ब्लूप्रिंट, मालिकाना डेटा, आरेख और बहुत कुछ सहित बड़ी मात्रा में गोपनीय जानकारी प्राप्त करने में सक्षम थी। पीड़ित उत्तरी अमेरिका, यूरोप और एशिया की कंपनियां हैं, जो प्रौद्योगिकी और विनिर्माण उद्योगों में काम कर रही हैं।
रिपोर्ट के अनुसार, मल्टी-स्टेज संक्रमण श्रृंखला का अंतिम चरण WINNKIT नामक एक कस्टम रूटकिट को तैनात करता है। हालाँकि, रूटकिट को तैनात करने, स्थापित करने और सक्रिय करने का कार्य एक अलग मैलवेयर खतरे को सौंपा गया है जिसका नाम DEPLOYLOG है। इसे एक वैध फ़ाइल के रूप में पारित करने के प्रयास में C:\Windows\System32\WindowsPowerShell\v1.0 पर एक 64-बिट DLL फ़ाइल 'dbghelp.dll', एक सामान्य और सामान्य रूप से उपयोग किए जाने वाले नाम के रूप में भंग सिस्टम पर गिरा दिया गया है।
DEPLOYLOG का पहला प्रमुख कार्य WINNKIT रूटकिट को परिनियोजित करना है। यह सीएलएफएस लॉग फ़ाइल से अंतिम पेलोड निकालने और अधिग्रहीत सामग्री को डिक्रिप्ट करके ऐसा करता है। इसके बाद, DEPLAYLOG AMD K8 प्रोसेसर कर्नेल ड्राइवर सेवा amdk8 को रोक देगा। यह तथ्य WINNTI को AMD से संबंधित मशीनों से समझौता करने और उनके पीड़ितों की मशीनों के आंतरिक बुनियादी ढांचे के बारे में पूर्व ज्ञान रखने पर ध्यान केंद्रित करने की ओर इशारा कर सकता है।
DEPLOYLOG का दूसरा कार्य सिस्टम पर उपयोगकर्ता-मोड एजेंट के रूप में कार्य करना है। यह अब तैनात रूटकिट और ऑपरेशन के कमांड-एंड-कंट्रोल (C2, C&C) सर्वर के बीच एक सेतु के रूप में कार्य करने का प्रयास करेगा। मैलवेयर C2 सर्वर के साथ संचार करेगा और डेटा प्राप्त करेगा जिसे तब WINNKIT के धमकाने वाले ड्राइवर द्वारा इंटरसेप्ट किया जाएगा। एजेंट के माध्यम से, Winnti हमलावर संक्रमित सिस्टम पर नए मॉड्यूल लोड कर सकते हैं, एक CMD खोल खोल सकते हैं, क्रेडेंशियल-एकत्रित पेलोड छोड़ सकते हैं और बहुत कुछ कर सकते हैं।
