DEPLOYLOG

En årelang cyberspionasjeangrepskampanje utført av den kinesisk-støttede APT (Advanced Persistent Threat)-gruppen Winnti (også kjent som APT41, BARIUM og Blackfly) har blitt brakt frem i lyset. I en rapport fra forskere har hele infeksjonskjeden til hackerne blitt avslørt for offentligheten. Under den truende operasjonen antas Winnti å ha vært i stand til å få tak i enorme mengder konfidensiell informasjon, inkludert tegninger, proprietære data, diagrammer og mye mer. Ofrene er selskaper fra Nord-Amerika, Europa og Asia, som opererer i teknologi- og produksjonsindustrien.

I følge rapporten distribuerer det siste trinnet i flertrinns infeksjonskjeden et tilpasset rootkit kalt WINNKIT . Oppgaven med å distribuere, etablere og aktivere rootsettet er imidlertid delegert til en separat skadelig programvaretrussel kalt DEPLOYLOG. Den blir sluppet på de brutte systemene som en 64-biters DLL-fil 'dbghelp.dll', et generisk og ofte brukt navn, på C:\Windows\System32\WindowsPowerShell\v1.0 i et forsøk på å passere som en legitim fil.

Den første store oppgaven til DEPLOYLOG er å distribuere WINNKIT rootkit. Det gjør det ved å trekke ut den endelige nyttelasten fra en CLFS-loggfil og dekryptere det innhentede innholdet. Deretter vil DEPLOYLOG stoppe AMD K8-prosessorkjernedrivertjenesten amdk8. Dette faktum kan peke mot at WINNTI er fokusert på å kompromittere AMD-relaterte maskiner og også ha forkunnskap om den interne infrastrukturen til ofrenes maskiner

Den andre oppgaven til DEPLOYLOG er å fungere som en brukermodusagent på systemet. Den vil prøve å fungere som en bro mellom det nå utplasserte rootsettet og Command-and-Control (C2, C&C)-servere for operasjonen. Skadevaren vil kommunisere med C2-serverne og skaffe data som deretter vil bli fanget opp av den truende driveren til WINNKIT. Gjennom agenten kan Winnti-angriperne laste nye moduler på det infiserte systemet, åpne et CMD-skall, slippe nyttelasten som samler inn legitimasjon og mer.