DEPLOYLOG

Një fushatë sulmi kibernetike shumëvjeçare e kryer nga grupi APT (Kërcënimi i Përparuar i Përparuar) Winnti (i njohur gjithashtu si APT41, BARIUM dhe Blackfly) i mbështetur nga Kina është nxjerrë në dritë. Në një raport të studiuesve, i gjithë zinxhiri i infeksionit të hakerëve është zbuluar për publikun. Gjatë operacionit kërcënues, Winnti besohet se ka qenë në gjendje të marrë sasi të mëdha informacioni konfidencial, duke përfshirë projekte, të dhëna pronësore, diagrame dhe shumë më tepër. Viktimat janë kompani nga Amerika e Veriut, Evropa dhe Azia, që operojnë në industrinë e teknologjisë dhe prodhimit.

Sipas raportit, hapi i fundit i zinxhirit të infeksionit me shumë faza vendos një rootkit të personalizuar të quajtur WINNKIT . Sidoqoftë, detyra e vendosjes, krijimit dhe aktivizimit të rootkit-it i delegohet një kërcënimi të veçantë malware të quajtur DEPLOYLOG. Ai hidhet në sistemet e shkelura si një skedar DLL 64-bit 'dbghelp.dll', një emër i përgjithshëm dhe i përdorur zakonisht, në C:\Windows\System32\WindowsPowerShell\v1.0 në një përpjekje për të kaluar si një skedar legjitim.

Detyra e parë kryesore e DEPLOYLOG është vendosja e rootkit WINNKIT. Ai e bën këtë duke nxjerrë ngarkesën përfundimtare nga një skedar log CLFS dhe duke deshifruar përmbajtjen e fituar. Më pas, DEPLOYLOG do të ndalojë shërbimin e drejtuesit të kernelit të procesorit AMD K8, amdk8. Ky fakt mund të tregojë që WINNTI të fokusohet në kompromentimin e makinerive të lidhura me AMD dhe gjithashtu të ketë njohuri paraprake për infrastrukturën e brendshme të makinave të viktimave të tyre.

Detyra e dytë e DEPLOYLOG është të veprojë si një agjent i modalitetit të përdoruesit në sistem. Ai do të përpiqet të veprojë si një urë lidhëse midis rootkit-it të vendosur tani dhe serverëve Command-and-Control (C2, C&C) të operacionit. Malware do të komunikojë me serverët C2 dhe do të marrë të dhëna që më pas do të përgjohen nga drejtuesi kërcënues i WINNKIT. Nëpërmjet agjentit, sulmuesit Winnti mund të ngarkojnë module të reja në sistemin e infektuar, të hapin një guaskë CMD, të heqin ngarkesën e grumbullimit të kredencialeve dhe më shumë.