DEPLOYLOG

Buvo atskleista daugelį metų trukusi kibernetinio šnipinėjimo atakų kampanija, kurią vykdė Kinijos remiama APT (Advanced Persistent Threat) grupė Winnti (taip pat žinoma kaip APT41, BARIUM ir Blackfly). Tyrėjų ataskaitoje visuomenei atskleista visa įsilaužėlių infekcijos grandinė. Manoma, kad per grėsmingą operaciją Winnti galėjo gauti daugybę konfidencialios informacijos, įskaitant brėžinius, patentuotus duomenis, diagramas ir daug daugiau. Nukentėjo bendrovės iš Šiaurės Amerikos, Europos ir Azijos, veikiančios technologijų ir gamybos pramonėje.

Remiantis ataskaita, paskutiniame kelių etapų infekcijos grandinės etape įdiegiamas tinkintas rootkit, pavadintas WINNKIT . Tačiau „rootkit“ diegimo, nustatymo ir aktyvinimo užduotis yra perduota atskirai kenkėjiškų programų grėsmei, pavadintai DEPLOYLOG. Jis pašalinamas pažeistose sistemose kaip 64 bitų DLL failas „dbghelp.dll“, bendras ir dažnai naudojamas pavadinimas, adresu C:\Windows\System32\WindowsPowerShell\v1.0, bandant perduoti kaip teisėtą failą.

Pirmoji pagrindinė DEPLOYLOG užduotis yra įdiegti WINNKIT rootkit. Tai daroma iš CLFS žurnalo failo ištraukdama galutinę naudingąją apkrovą ir iššifruodama gautą turinį. Tada DEPLOYLOG sustabdys AMD K8 procesoriaus branduolio tvarkyklės paslaugą amdk8. Šis faktas gali reikšti, kad WINNTI orientuojasi į su AMD susijusių mašinų kompromitavimą ir turi išankstinių žinių apie savo aukų mašinų vidinę infrastruktūrą.

Antroji DEPLOYLOG užduotis yra veikti kaip vartotojo režimo agentas sistemoje. Jis bandys veikti kaip tiltas tarp dabar įdiegto rootkit ir operacijos komandų ir valdymo (C2, C&C) serverių. Kenkėjiška programa susisieks su C2 serveriais ir gaus duomenis, kuriuos vėliau perims grėsminga WINNKIT tvarkyklė. Per agentą Winnti užpuolikai gali įkelti naujus modulius į užkrėstą sistemą, atidaryti CMD apvalkalą, numesti kredencialų rinkimo naudingąją apkrovą ir dar daugiau.