DEPLOYLOG

중국이 지원하는 APT(Advanced Persistent Threat) 그룹 Winnti (APT41, BARIUM 및 Blackfly라고도 함)가 수행한 수년 간의 사이버 스파이 공격 캠페인이 밝혀졌습니다. 연구원의 보고서에서 해커의 전체 감염 체인이 대중에게 공개되었습니다. 위협적인 작전이 진행되는 동안 Winnti는 청사진, 독점 데이터, 다이어그램 등을 포함한 방대한 양의 기밀 정보를 얻을 수 있었던 것으로 믿어집니다. 피해자는 기술 및 제조 산업에서 활동하는 북미, 유럽 및 아시아의 회사입니다.

보고서에 따르면 다단계 감염 체인의 마지막 단계는 WINNKIT 라는 사용자 지정 루트킷을 배포합니다. 그러나 루트킷을 배포, 설정 및 활성화하는 작업은 DEPLOYLOG라는 별도의 멀웨어 위협에 위임됩니다. 합법적인 파일로 전달하기 위해 C:\Windows\System32\WindowsPowerShell\v1.0에 일반적이고 일반적으로 사용되는 이름인 64비트 DLL 파일 'dbghelp.dll'로 침해된 시스템에 드롭됩니다.

DEPLOYLOG의 첫 번째 주요 작업은 WINNKIT 루트킷을 배포하는 것입니다. 이는 CLFS 로그 파일에서 최종 페이로드를 추출하고 획득한 콘텐츠의 암호를 해독하여 수행합니다. 다음으로 DEPLOYLOG는 AMD K8 프로세서 커널 드라이버 서비스 amdk8을 중지합니다. 이 사실은 WINNTI가 AMD 관련 시스템을 손상시키는 데 중점을 두고 있으며 피해자 시스템의 내부 인프라에 대한 사전 지식을 갖고 있음을 가리킬 수 있습니다.

DEPLOYLOG의 두 번째 작업은 시스템에서 사용자 모드 에이전트 역할을 하는 것입니다. 현재 배포된 루트킷과 작업의 Command-and-Control(C2, C&C) 서버 사이에서 다리 역할을 하려고 합니다. 멀웨어는 C2 서버와 통신하고 WINNKIT의 위협적인 드라이버가 가로챌 데이터를 얻습니다. 에이전트를 통해 Winnti 공격자는 감염된 시스템에 새 모듈을 로드하고 CMD 셸을 열고 자격 증명 수집 페이로드 등을 삭제할 수 있습니다.