Lesen Berbilang Peranti (Volume Diskaun)
Threat Database Malware DEPLOYLOG

DEPLOYLOG

Menjelang Mezo pada Malware, Advanced Persistent Threat (APT)
Terjemahkan ke
بهاس ملايو

Kempen serangan pengintipan siber selama bertahun-tahun yang dijalankan oleh kumpulan APT (Advanced Persistent Threat) yang disokong oleh China Winnti (juga dikenali sebagai APT41, BARIUM dan Blackfly) telah didedahkan. Dalam laporan penyelidik, keseluruhan rantaian jangkitan penggodam telah didedahkan kepada umum. Semasa operasi mengancam, Winnti dipercayai telah dapat memperoleh sejumlah besar maklumat sulit, termasuk pelan tindakan, data proprietari, gambar rajah dan banyak lagi. Mangsa adalah syarikat dari Amerika Utara, Eropah, dan Asia, yang beroperasi dalam industri teknologi dan pembuatan.

Menurut laporan itu, langkah terakhir rantaian jangkitan berbilang peringkat menggunakan rootkit tersuai yang digelar WINNKIT . Walau bagaimanapun, tugas untuk menggunakan, menubuhkan dan mengaktifkan rootkit diserahkan kepada ancaman perisian hasad berasingan bernama DEPLOYLOG. Ia digugurkan pada sistem yang dilanggar sebagai fail DLL 64-bit 'dbghelp.dll,' nama generik dan biasa digunakan, di C:\Windows\System32\WindowsPowerShell\v1.0 dalam percubaan untuk lulus sebagai fail yang sah.

Tugas utama pertama DEPLOYLOG adalah untuk menggunakan rootkit WINNKIT. Ia berbuat demikian dengan mengekstrak muatan akhir daripada fail log CLFS dan menyahsulit kandungan yang diperoleh. Seterusnya, DEPLOYLOG akan menghentikan perkhidmatan pemacu kernel AMDK8 AMDK8. Fakta ini boleh menunjukkan kepada WINNTI yang memberi tumpuan kepada menjejaskan mesin berkaitan AMD dan juga mempunyai pengetahuan terdahulu tentang infrastruktur dalaman mesin mangsa mereka

Tugas kedua DEPLOYLOG adalah untuk bertindak sebagai ejen mod pengguna pada sistem. Ia akan cuba bertindak sebagai jambatan antara rootkit yang digunakan sekarang dan pelayan Perintah-dan-Kawalan (C2, C&C) operasi. Malware akan berkomunikasi dengan pelayan C2 dan mendapatkan data yang kemudiannya akan dipintas oleh pemacu WINNKIT yang mengancam. Melalui ejen, penyerang Winnti boleh memuatkan modul baharu pada sistem yang dijangkiti, membuka cangkang CMD, menjatuhkan muatan pengumpulan bukti kelayakan dan banyak lagi.

Trending

Paling banyak dilihat

Memuatkan...