Licențe pentru mai multe dispozitive (reduceri de volum)
Threat Database Malware DEPLOYLOG

DEPLOYLOG

Până în Mezo în Malware, Advanced Persistent Threat (APT)
Tradu in:
Română

O campanie de atacuri de spionaj cibernetic de ani de zile desfășurată de grupul APT (Advanced Persistent Threat) Winnti (cunoscut și sub numele de APT41, BARIUM și Blackfly) susținut de chinezi a fost scoasă la iveală. Într-un raport al cercetătorilor, întregul lanț de infecție al hackerilor a fost dezvăluit publicului. În timpul operațiunii de amenințare, se crede că Winnti a fost capabil să obțină cantități mari de informații confidențiale, inclusiv planuri, date de proprietate, diagrame și multe altele. Victimele sunt companii din America de Nord, Europa și Asia, care operează în industriile tehnologice și de producție.

Potrivit raportului, pasul final al lanțului de infecții în mai multe etape implementează un rootkit personalizat numit WINNKIT . Cu toate acestea, sarcina de implementare, stabilire și activare a rootkit-ului este delegată unei amenințări malware separate, numită DEPLOYLOG. Este aruncat pe sistemele încălcate ca fișier DLL pe 64 de biți „dbghelp.dll”, un nume generic și folosit în mod obișnuit, la C:\Windows\System32\WindowsPowerShell\v1.0, în încercarea de a trece ca fișier legitim.

Prima sarcină majoră a DEPLOYLOG este implementarea rootkit-ului WINNKIT. O face prin extragerea sarcinii finale dintr-un fișier jurnal CLFS și decriptarea conținutului achiziționat. Apoi, DEPLOYLOG va opri serviciul de driver pentru nucleul procesorului AMD K8 amdk8. Acest fapt ar putea indica faptul că WINNTI se concentrează pe compromiterea mașinilor legate de AMD și, de asemenea, să aibă cunoștințe anterioare despre infrastructura internă a mașinilor victimelor lor.

A doua sarcină a DEPLOYLOG este să acționeze ca un agent în modul utilizator pe sistem. Va încerca să acționeze ca o punte între rootkit-ul acum implementat și serverele de comandă și control (C2, C&C) ale operațiunii. Malware-ul va comunica cu serverele C2 și va obține date care vor fi apoi interceptate de șoferul amenințător al WINNKIT. Prin intermediul agentului, atacatorii Winnti pot încărca noi module pe sistemul infectat, pot deschide un shell CMD, pot elimina încărcătura utilă de colectare a acreditărilor și multe altele.

Trending

Cele mai văzute

Se încarcă...