DEPLOYLOG

Ir atklāta vairākus gadus ilgā kiberspiegošanas uzbrukuma kampaņa, ko veica Ķīnas atbalstītā APT (Advanced Persistent Threat) grupa Winnti (pazīstama arī kā APT41, BARIUM un Blackfly). Pētnieku ziņojumā sabiedrībai ir atklāta visa hakeru infekcijas ķēde. Tiek uzskatīts, ka draudošās operācijas laikā Winnti varēja iegūt milzīgu daudzumu konfidenciālas informācijas, tostarp rasējumus, patentētus datus, diagrammas un daudz ko citu. Cietušie ir uzņēmumi no Ziemeļamerikas, Eiropas un Āzijas, kas darbojas tehnoloģiju un ražošanas nozarēs.

Saskaņā ar ziņojumu daudzpakāpju infekcijas ķēdes pēdējais posms izvieto pielāgotu rootkit ar nosaukumu WINNKIT . Tomēr saknes komplekta izvietošanas, izveides un aktivizēšanas uzdevums ir deleģēts atsevišķam ļaunprātīgas programmatūras draudam ar nosaukumu DEPLOYLOG. Uzlauztajās sistēmās tas tiek noņemts kā 64 bitu DLL fails “dbghelp.dll” — vispārējs un bieži lietots nosaukums, C:\Windows\System32\WindowsPowerShell\v1.0, mēģinot nodot to kā likumīgu failu.

Pirmais lielākais DEPLOYLOG uzdevums ir WINNKIT rootkit izvietošana. Tas tiek darīts, izvelkot pēdējo lietderīgo slodzi no CLFS žurnālfaila un atšifrējot iegūto saturu. Pēc tam DEPLOYLOG apturēs AMD K8 procesora kodola draivera pakalpojumu amdk8. Šis fakts varētu liecināt par to, ka WINNTI koncentrējas uz ar AMD saistītu iekārtu kompromitēšanu un arī priekšzināšanām par upuru iekārtu iekšējo infrastruktūru.

Otrais DEPLOYLOG uzdevums ir darboties kā lietotāja režīma aģentam sistēmā. Tas mēģinās darboties kā tilts starp tagad izvietoto rootkit un operācijas komandu un vadības (C2, C&C) serveriem. Ļaunprātīga programmatūra sazināsies ar C2 serveriem un iegūs datus, kurus pēc tam pārtvers draudošais WINNKIT draiveris. Izmantojot aģentu, Winnti uzbrucēji var ielādēt inficētajā sistēmā jaunus moduļus, atvērt CMD apvalku, nomest akreditācijas datu vākšanas lietderīgo slodzi un daudz ko citu.