DEPLOYLOG

Napvilágra került a kínai támogatású APT (Advanced Persistent Threat) Winnti (más néven APT41, BARIUM és Blackfly) évek óta tartó kiberkémtámadási kampánya. A kutatók jelentésében a hackerek teljes fertőzési láncolata a nyilvánosság elé került. A fenyegetőző művelet során Winntiről azt tartják, hogy hatalmas mennyiségű bizalmas információhoz jutott hozzá, beleértve a tervrajzokat, a védett adatokat, a diagramokat és még sok mást. Az áldozatok észak-amerikai, európai és ázsiai vállalatok, amelyek a technológiai és gyártóiparban tevékenykednek.

A jelentés szerint a többlépcsős fertőzési lánc utolsó lépése egy WINNKIT névre keresztelt egyéni rootkitet telepít. A rootkit telepítésének, létrehozásának és aktiválásának feladata azonban egy különálló, DEPLOYLOG nevű rosszindulatú fenyegetésre van delegálva. A megsértett rendszereken 64 bites „dbghelp.dll” DLL-fájlként, általános és gyakran használt névként kerül a C:\Windows\System32\WindowsPowerShell\v1.0 címen, és megpróbálja legitim fájlként átadni.

A DEPLOYLOG első fő feladata a WINNKIT rootkit telepítése. Ezt úgy teszi, hogy kibontja a végső hasznos adatot egy CLFS naplófájlból, és visszafejti a megszerzett tartalmat. Ezután a DEPLOYLOG leállítja az AMD K8 processzor kernel illesztőprogramjának amdk8 szolgáltatását. Ez a tény arra utalhat, hogy a WINNTI az AMD-vel kapcsolatos gépek kompromittálására összpontosít, és előzetes ismeretekkel rendelkezik áldozataik gépeinek belső infrastruktúrájáról.

A DEPLOYLOG második feladata, hogy felhasználói módú ügynökként működjön a rendszeren. Megpróbál hídként működni a most telepített rootkit és a művelet Command-and-Control (C2, C&C) szerverei között. A rosszindulatú program kommunikálni fog a C2 szerverekkel, és adatokat szerez, amelyeket aztán a WINNKIT fenyegető illesztőprogramja elfog. Az ügynökön keresztül a Winnti támadók új modulokat tölthetnek be a fertőzött rendszerbe, megnyithatnak egy CMD-héjat, eldobhatják a hitelesítő adatok gyűjtését és így tovább.