Licenties voor meerdere apparaten (volumekortingen)
Threat Database Malware DEPLOYLOG

DEPLOYLOG

Tegen Mezo in Malware, Advanced Persistent Threat (APT)
Vertalen naar:
Nederlands

Een jarenlange cyberspionage-aanvalscampagne, uitgevoerd door de door China gesteunde APT (Advanced Persistent Threat)-groep Winnti (ook bekend als APT41, BARIUM en Blackfly) is aan het licht gebracht. In een rapport van onderzoekers is de hele infectieketen van de hackers aan het publiek onthuld. Tijdens de dreigende operatie zou Winnti in staat zijn geweest om enorme hoeveelheden vertrouwelijke informatie te verkrijgen, waaronder blauwdrukken, eigendomsgegevens, diagrammen en nog veel meer. De slachtoffers zijn bedrijven uit Noord-Amerika, Europa en Azië, actief in de technologie- en maakindustrie.

Volgens het rapport wordt in de laatste stap van de infectieketen met meerdere fasen een aangepaste rootkit gebruikt, WINNKIT genaamd. De taak van het implementeren, opzetten en activeren van de rootkit is echter gedelegeerd aan een afzonderlijke malwarebedreiging genaamd DEPLOYLOG. Het wordt op de gehackte systemen neergezet als een 64-bits DLL-bestand 'dbghelp.dll', een generieke en veelgebruikte naam, op C:\Windows\System32\WindowsPowerShell\v1.0 in een poging om door te geven als een legitiem bestand.

De eerste belangrijke taak van DEPLOYLOG is het implementeren van de WINNKIT-rootkit. Het doet dit door de uiteindelijke payload uit een CLFS-logbestand te extraheren en de verkregen inhoud te decoderen. Vervolgens stopt DEPLOYLOG de AMD K8-processorkernelstuurprogrammaservice amdk8. Dit feit zou erop kunnen wijzen dat WINNTI gefocust is op het compromitteren van AMD-gerelateerde machines en ook voorkennis heeft over de interne infrastructuur van de machines van hun slachtoffers

De tweede taak van DEPLOYLOG is om op te treden als een user-mode agent op het systeem. Het zal proberen te fungeren als een brug tussen de nu geïmplementeerde rootkit en de Command-and-Control (C2, C&C) servers van de operatie. De malware zal communiceren met de C2-servers en gegevens verkrijgen die vervolgens worden onderschept door de dreigende bestuurder van WINNKIT. Via de agent kunnen de Winnti-aanvallers nieuwe modules op het geïnfecteerde systeem laden, een CMD-shell openen, de payload voor het verzamelen van inloggegevens laten vallen en meer.

Trending

Meest bekeken

Bezig met laden...