DEPLOYLOG

Ujawniono wieloletnią kampanię cyberszpiegowską prowadzoną przez wspieraną przez Chińczyków grupę Winnti APT (Advanced Persistent Threat) (znaną również jako APT41, BARIUM i Blackfly). W raporcie opracowanym przez naukowców cały łańcuch infekcji hakerów został ujawniony opinii publicznej. Uważa się, że podczas groźnej operacji Winnti był w stanie uzyskać ogromne ilości poufnych informacji, w tym plany, zastrzeżone dane, diagramy i wiele innych. Ofiarami są firmy z Ameryki Północnej, Europy i Azji, działające w branży technologicznej i produkcyjnej.

Według raportu, ostatnim krokiem wieloetapowego łańcucha infekcji jest wdrożenie niestandardowego rootkita o nazwie WINNKIT . Jednak zadanie wdrożenia, ustanowienia i aktywacji rootkita jest delegowane do oddzielnego zagrożenia złośliwego oprogramowania o nazwie DEPLOYLOG. Jest on umieszczany na zainfekowanych systemach jako 64-bitowy plik DLL 'dbghelp.dll', ogólna i powszechnie używana nazwa, w C:\Windows\System32\WindowsPowerShell\v1.0, próbując przekazać go jako prawidłowy plik.

Pierwszym głównym zadaniem DEPLOYLOG jest wdrożenie rootkita WINNKIT. Czyni to poprzez wyodrębnienie końcowego ładunku z pliku dziennika CLFS i odszyfrowanie pozyskanej zawartości. Następnie DEPLOYLOG zatrzyma usługę amdk8 sterownika jądra procesora AMD K8. Fakt ten może wskazywać na to, że WINNTI koncentruje się na kompromitowaniu maszyn związanych z AMD, a także posiada wcześniejszą wiedzę na temat wewnętrznej infrastruktury maszyn swoich ofiar.

Drugim zadaniem DEPLOYLOG jest działanie jako agent trybu użytkownika w systemie. Będzie próbował działać jako pomost między obecnie wdrożonym rootkitem a serwerami Command-and-Control (C2, C&C) operacji. Złośliwe oprogramowanie będzie komunikować się z serwerami C2 i uzyskiwać dane, które następnie zostaną przechwycone przez zagrażający sterownik WINNKIT. Za jego pośrednictwem osoby atakujące Winnti mogą ładować nowe moduły do zainfekowanego systemu, otwierać powłokę CMD, usuwać ładunek gromadzący dane uwierzytelniające i nie tylko.