Licenze multi-dispositivo (sconti per quantità)
Threat Database Malware DEPLOYLOG

DEPLOYLOG

Entro Mezo nel Malware, Advanced Persistent Threat (APT)
Traduci in:
Italiano

È stata portata alla luce una campagna di attacco di cyberspionaggio lunga anni condotta dal gruppo Winnti (noto anche come APT41, BARIUM e Blackfly) sostenuto dalla Cina APT (Advanced Persistent Threat). In un rapporto dei ricercatori, l'intera catena di infezione degli hacker è stata rivelata al pubblico. Durante l'operazione minacciosa, si ritiene che Winnti sia stato in grado di ottenere grandi quantità di informazioni riservate, inclusi progetti, dati proprietari, diagrammi e molto altro. Le vittime sono aziende del Nord America, Europa e Asia, che operano nei settori tecnologico e manifatturiero.

Secondo il rapporto, il passaggio finale della catena di infezione a più stadi distribuisce un rootkit personalizzato denominato WINNKIT . Tuttavia, il compito di distribuire, stabilire e attivare il rootkit è delegato a una minaccia malware separata denominata DEPLOYLOG. Viene rilasciato sui sistemi violati come file DLL a 64 bit "dbghelp.dll", un nome generico e comunemente usato, in C:\Windows\System32\WindowsPowerShell\v1.0 nel tentativo di passare come file legittimo.

Il primo compito principale di DEPLOYLOG è distribuire il rootkit WINNKIT. Lo fa estraendo il payload finale da un file di registro CLFS e decrittografando il contenuto acquisito. Successivamente, DEPLOYLOG arresterà il servizio del driver del kernel del processore AMD K8 amdk8. Questo fatto potrebbe indicare che WINNTI si concentri sulla compromissione delle macchine correlate ad AMD e abbia anche una conoscenza preliminare dell'infrastruttura interna delle macchine delle loro vittime

Il secondo compito di DEPLOYLOG è agire come agente in modalità utente sul sistema. Cercherà di fungere da ponte tra il rootkit ora distribuito e i server Command-and-Control (C2, C&C) dell'operazione. Il malware comunicherà con i server C2 e otterrà dati che verranno poi intercettati dal minaccioso driver di WINNKIT. Attraverso l'agente, gli aggressori di Winnti possono caricare nuovi moduli sul sistema infetto, aprire una shell CMD, rilasciare il payload di raccolta delle credenziali e altro ancora.

Tendenza

I più visti

Caricamento in corso...