DEPLOYLOG

Na svetlo sveta sa dostala roky trvajúca kyberšpionážna útočná kampaň realizovaná Čínou podporovanou skupinou APT (Advanced Persistent Threat) Winnti (známa aj ako APT41, BARIUM a Blackfly). V správe výskumníkov bol verejnosti odhalený celý infekčný reťazec hackerov. Predpokladá sa, že počas hrozivej operácie sa Winntimu podarilo získať obrovské množstvo dôverných informácií vrátane plánov, vlastníckych údajov, diagramov a oveľa viac. Obeťami sú spoločnosti zo Severnej Ameriky, Európy a Ázie pôsobiace v technologickom a výrobnom priemysle.

Podľa správy je posledným krokom viacstupňového infekčného reťazca nasadenie vlastného rootkitu s názvom WINNKIT . Úloha nasadenia, vytvorenia a aktivácie rootkitu je však delegovaná na samostatnú malvérovú hrozbu s názvom DEPLOYLOG. Na napadnuté systémy sa pustí ako 64-bitový súbor DLL „dbghelp.dll“, čo je všeobecný a bežne používaný názov, na C:\Windows\System32\WindowsPowerShell\v1.0 v snahe prejsť ako legitímny súbor.

Prvou hlavnou úlohou DEPLOYLOG je nasadenie WINNKIT rootkitu. Robí to extrahovaním konečného užitočného zaťaženia zo súboru denníka CLFS a dešifrovaním získaného obsahu. Ďalej DEPLOYLOG zastaví službu ovládača jadra procesora AMD K8 amdk8. Táto skutočnosť by mohla poukazovať na to, že WINNTI sa zameriava na kompromitovanie počítačov súvisiacich s AMD a má tiež predchádzajúce znalosti o vnútornej infraštruktúre počítačov svojich obetí.

Druhou úlohou DEPLOYLOG je pôsobiť ako agent užívateľského režimu v systéme. Pokúsi sa fungovať ako most medzi teraz nasadeným rootkitom a servermi Command-and-Control (C2, C&C) operácie. Malvér bude komunikovať so servermi C2 a získavať údaje, ktoré potom zachytí hrozivý ovládač WINNKIT. Prostredníctvom agenta môžu útočníci Winnti načítať nové moduly do infikovaného systému, otvoriť CMD shell, zhodiť užitočné zaťaženie na zhromažďovanie poverení a ďalšie.