Licenças para vários dispositivos (descontos por volume)
Threat Database Malware DEPLOYLOG

DEPLOYLOG

Por Mezo em Malware, Advanced Persistent Threat (APT)
Traduzir Para:
Português

Uma campanha de ataque de ciberespionagem de anos realizada pelo grupo APT (Advanced Persistent Threat) apoiado pelos chineses Winnti (também conhecido como APT41, BARIUM e Blackfly) foi trazida à luz. Em um relatório de pesquisadores, toda a cadeia de infecção dos hackers foi revelada ao público. Durante a operação ameaçadora, acredita-se que Winnti tenha conseguido obter grandes quantidades de informações confidenciais, incluindo plantas, dados proprietários, diagramas e muito mais. As vítimas são empresas da América do Norte, Europa e Ásia, que operam nas indústrias de tecnologia e manufatura.

De acordo com o relatório, a etapa final da cadeia de infecção em vários estágios implanta um rootkit personalizado chamado WINNKIT. No entanto, a tarefa de implantar, estabelecer e ativar o rootkit é delegada a uma ameaça de malware separada chamada DEPLOYLOG. Ele é descartado nos sistemas violados como um arquivo DLL de 64 bits 'dbghelp.dll', um nome genérico e comumente usado, em C:\Windows\System32\WindowsPowerShell\v1.0 na tentativa de passar como um arquivo legítimo.

A primeira e principal tarefa do DEPLOYLOG é implantar o rootkit WINNKIT. Ele faz isso extraindo a carga útil final de um arquivo de log CLFS e descriptografando o conteúdo adquirido. Em seguida, o DEPLOYLOG interromperá o serviço de driver do kernel do processador AMD K8 amdk8. Esse fato pode apontar para o WINNTI estar focado em comprometer as máquinas relacionadas à AMD e também ter conhecimento prévio sobre a infraestrutura interna das máquinas de suas vítimas

A segunda tarefa do DEPLOYLOG é atuar como um agente de modo de usuário no sistema. Ele tentará atuar como uma ponte entre o rootkit agora implantado e os servidores de Comando e Controle (C2, C&C) da operação. O malware se comunicará com os servidores C2 e obterá dados que serão interceptados pelo driver ameaçador do WINNKIT. Por meio do agente, os invasores do Winnti podem carregar novos módulos no sistema infectado, abrir um shell CMD, descartar carga útil de coleta de credenciais e muito mais.

Tendendo

Mais visto

Carregando...