DEPLOYLOG

Na dan je bila razkrita večletna kampanja kibervohunjenja, ki jo izvaja skupina APT (Advanced Persistent Threat), ki jo podpira Kitajska Winnti (znana tudi kot APT41, BARIUM in Blackfly). V poročilu raziskovalcev je bila javnosti razkrita celotna infekcijska veriga hekerjev. Med grozečo operacijo naj bi Winnti lahko pridobil ogromne količine zaupnih informacij, vključno z načrti, lastniškimi podatki, diagrami in še veliko več. Žrtve so podjetja iz Severne Amerike, Evrope in Azije, ki delujejo v tehnološki in proizvodni industriji.

Glede na poročilo je zadnji korak večstopenjske verige okužb uvedel rootkit po meri, imenovan WINNKIT . Vendar pa je naloga uvajanja, vzpostavitve in aktiviranja rootkita prenesena na ločeno grožnjo zlonamerne programske opreme z imenom DEPLOYLOG. V vlomljenih sistemih je spuščena kot 64-bitna datoteka DLL 'dbghelp.dll', generično in pogosto uporabljeno ime, na C:\Windows\System32\WindowsPowerShell\v1.0 v poskusu, da se prenese kot zakonita datoteka.

Prva večja naloga DEPLOYLOG je namestiti rootkit WINNKIT. To naredi tako, da izvleče končno koristno obremenitev iz datoteke dnevnika CLFS in dešifrira pridobljeno vsebino. Nato bo DEPLOYLOG ustavil storitev gonilnika jedra procesorja AMD K8 amdk8. To dejstvo bi lahko kazalo na to, da je WINNTI osredotočen na ogrožanje strojev, povezanih z AMD, in tudi predhodno znanje o notranji infrastrukturi strojev svojih žrtev.

Druga naloga DEPLOYLOG je delovati kot agent uporabniškega načina v sistemu. Poskušal bo delovati kot most med zdaj nameščenim rootkitom in strežniki za upravljanje in nadzor (C2, C&C) operacije. Zlonamerna programska oprema bo komunicirala s strežniki C2 in pridobila podatke, ki jih bo nato prestregel grozeči gonilnik WINNKIT. Preko agenta lahko napadalci Winnti naložijo nove module v okuženi sistem, odprejo lupino CMD, spustijo koristno obremenitev za zbiranje poverilnic in še več.