DEPLOYLOG

Višegodišnja kampanja kiberšpijunažnog napada koju je provela APT (Advanced Persistent Threat) grupa Winnti (također poznata kao APT41, BARIUM i Blackfly) koju podupiru Kinezi iznijela je na vidjelo. U izvješću istraživača, javnosti je otkriven cijeli lanac zaraze hakera. Vjeruje se da je tijekom prijeteće operacije Winnti uspio doći do golemih količina povjerljivih informacija, uključujući nacrte, vlasničke podatke, dijagrame i još mnogo toga. Žrtve su tvrtke iz Sjeverne Amerike, Europe i Azije koje posluju u tehnološkoj i proizvodnoj industriji.

Prema izvješću, posljednji korak višestupanjskog lanca infekcije postavlja prilagođeni rootkit nazvan WINNKIT . Međutim, zadatak postavljanja, uspostavljanja i aktiviranja rootkita delegiran je zasebnoj prijetnji zlonamjernog softvera pod nazivom DEPLOYLOG. Ispušta se na probijenim sustavima kao 64-bitna DLL datoteka 'dbghelp.dll', generički i često korišteni naziv, na C:\Windows\System32\WindowsPowerShell\v1.0 u pokušaju da prođe kao legitimna datoteka.

Prvi glavni zadatak DEPLOYLOG-a je implementacija WINNKIT rootkita. To čini izdvajanjem konačnog tereta iz CLFS datoteke dnevnika i dešifriranjem stečenog sadržaja. Zatim će DEPLOYLOG zaustaviti uslugu upravljačkog programa jezgre AMD K8 procesora amdk8. Ova činjenica mogla bi ukazivati na to da je WINNTI usredotočen na kompromitiranje strojeva povezanih s AMD-om i također ima prethodno znanje o internoj infrastrukturi strojeva svojih žrtava.

Drugi zadatak DEPLOYLOG-a je da djeluje kao agent korisničkog načina na sustavu. Pokušat će djelovati kao most između sada postavljenog rootkita i poslužitelja za upravljanje i upravljanje (C2, C&C) operacije. Zlonamjerni softver će komunicirati s C2 poslužiteljima i dobiti podatke koje će zatim presresti prijeteći upravljački program WINNKIT-a. Putem agenta, Winnti napadači mogu učitati nove module na zaraženi sustav, otvoriti CMD ljusku, ispustiti korisni teret za prikupljanje vjerodajnica i još mnogo toga.