DEPLOYLOG

Стала известна многолетняя кампания кибершпионажа, проводимая поддерживаемой Китаем группой APT (Advanced Persistent Threat) Winnti (также известной как APT41, BARIUM и Blackfly). В отчете исследователей была раскрыта вся цепочка заражения хакеров. Считается, что во время угрожающей операции Виннти смог получить огромное количество конфиденциальной информации, включая чертежи, частные данные, диаграммы и многое другое. Жертвами стали компании из Северной Америки, Европы и Азии, работающие в технологической и производственной отраслях.

Согласно отчету, на последнем этапе многоступенчатой цепочки заражения развертывается специальный руткит, получивший название WINNKIT . Однако задача развертывания, установки и активации руткита делегирована отдельной угрозе вредоносного ПО с именем DEPLOYLOG. Он сбрасывается на взломанные системы в виде 64-разрядного DLL-файла dbghelp.dll, общего и часто используемого имени, в C:\Windows\System32\WindowsPowerShell\v1.0 в попытке пройти как законный файл.

Первой важной задачей DEPLOYLOG является развертывание руткита WINNKIT. Это достигается путем извлечения окончательной полезной нагрузки из файла журнала CLFS и расшифровки полученного содержимого. Затем DEPLOYLOG остановит службу драйвера ядра процессора AMD K8 amdk8. Этот факт может указывать на то, что WINNTI сосредоточена на компрометации машин, связанных с AMD, а также на предварительном знании внутренней инфраструктуры машин своих жертв.

Вторая задача DEPLOYLOG — действовать в системе как агент пользовательского режима. Он попытается действовать как мост между развернутым сейчас руткитом и серверами управления и контроля (C2, C&C) операции. Вредоносное ПО будет связываться с серверами C2 и получать данные, которые затем будут перехвачены угрожающим драйвером WINNKIT. Через агент злоумышленники Winnti могут загружать новые модули в зараженную систему, открывать оболочку CMD, сбрасывать полезную нагрузку для сбора учетных данных и многое другое.