DEPLOYLOG

चिनियाँ-समर्थित APT (Advanced Persistent Threat) समूह Winnti (जसलाई APT41, BARIUM, र Blackfly पनि भनिन्छ) द्वारा गरिएको एक वर्ष लामो साइबर जासूसी आक्रमण अभियान प्रकाशमा ल्याइएको छ। अनुसन्धानकर्ताहरूको एक रिपोर्टमा, ह्याकरहरूको सम्पूर्ण संक्रमण श्रृंखला सार्वजनिक भएको छ। धम्कीपूर्ण अपरेसनको क्रममा, Winnti ले ब्लुप्रिन्टहरू, स्वामित्व डेटा, रेखाचित्र र थप धेरै सहित धेरै मात्रामा गोप्य जानकारी प्राप्त गर्न सक्षम भएको विश्वास गरिन्छ। पीडितहरू उत्तर अमेरिका, युरोप र एसियाका कम्पनीहरू हुन्, जसले प्रविधि र उत्पादन उद्योगमा काम गरिरहेका छन्।

रिपोर्टका अनुसार, बहु-चरण संक्रमण श्रृंखलाको अन्तिम चरणले WINNKIT डब गरिएको कस्टम रूटकिट तैनात गर्दछ। यद्यपि, रूटकिटलाई डिप्लोइ गर्ने, स्थापना गर्ने र सक्रिय गर्ने कार्य DEPLOYLOG नामको छुट्टै मालवेयर खतरालाई सुम्पिएको छ। यसलाई एक वैध फाइलको रूपमा पास गर्ने प्रयासमा C:\Windows\System32\WindowsPowerShell\v1.0 मा 64-bit DLL फाइल 'dbghelp.dll', सामान्य र सामान्यतया प्रयोग हुने नामको रूपमा तोडिएको प्रणालीहरूमा छोडिन्छ।

DEPLOYLOG को पहिलो प्रमुख कार्य WINNKIT rootkit तैनात गर्नु हो। यसले CLFS लग फाइलबाट अन्तिम पेलोड निकालेर र प्राप्त सामग्री डिक्रिप्ट गरेर गर्छ। अर्को, DEPLOYLOG ले AMD K8 प्रोसेसर कर्नेल चालक सेवा amdk8 बन्द गर्नेछ। यो तथ्यले WINNTI लाई AMD-सम्बन्धित मेसिनहरू सम्झौता गर्नमा केन्द्रित भएको र उनीहरूका पीडितहरूको मेसिनहरूको आन्तरिक पूर्वाधारको बारेमा पूर्व ज्ञान भएको कुरालाई औंल्याउन सक्छ।

DEPLOYLOG को दोस्रो कार्य प्रणालीमा प्रयोगकर्ता-मोड एजेन्टको रूपमा कार्य गर्नु हो। यसले अहिले तैनाथ गरिएको रूटकिट र सञ्चालनको कमाण्ड-एन्ड-कन्ट्रोल (C2, C&C) सर्भरहरू बीच पुलको रूपमा काम गर्ने प्रयास गर्नेछ। मालवेयरले C2 सर्भरहरूसँग सञ्चार गर्नेछ र डेटा प्राप्त गर्नेछ जुन त्यसपछि WINNKIT को धम्की दिने चालकद्वारा रोकिनेछ। एजेन्ट मार्फत, Winnti आक्रमणकारीहरूले संक्रमित प्रणालीमा नयाँ मोड्युलहरू लोड गर्न, CMD खोल खोल्न, प्रमाण-संकलन पेलोड छोड्न र थप गर्न सक्छन्।