DEPLOYLOG

Вишегодишња кампања сајбер шпијунаже коју спроводи група Виннти (Адванцед Персистент Тхреат) коју подржава Кинеза (такође позната као АПТ41, БАРИУМ и Блацкфли) је откривена. У извештају истраживача, јавности је откривен цео ланац заразе хакера. Током претеће операције, верује се да је Виннти успео да добије огромне количине поверљивих информација, укључујући нацрте, власничке податке, дијаграме и још много тога. Жртве су компаније из Северне Америке, Европе и Азије које послују у технолошкој и производној индустрији.

Према извештају, последњи корак вишестепеног ланца инфекције примењује прилагођени руткит назван ВИННКИТ . Међутим, задатак постављања, успостављања и активирања рооткита делегиран је засебној претњи од малвера под називом ДЕПЛОИЛОГ. Испуштена је на оштећеним системима као 64-битна ДЛЛ датотека 'дбгхелп.длл', генеричко и често коришћено име, на Ц:\Виндовс\Систем32\ВиндовсПоверСхелл\в1.0 у покушају да прође као легитимна датотека.

Први главни задатак ДЕПЛОИЛОГ-а је да примени ВИННКИТ рооткит. То чини тако што извлачи коначан терет из ЦЛФС датотеке евиденције и дешифрује стечени садржај. Следеће, ДЕПЛОИЛОГ ће зауставити услугу драјвера језгра процесора АМД К8 амдк8. Ова чињеница би могла да укаже на то да је ВИННТИ фокусиран на компромитовање машина повезаних са АМД-ом и да такође има претходно знање о интерној инфраструктури машина својих жртава.

Други задатак ДЕПЛОИЛОГ-а је да делује као агент корисничког режима на систему. Покушаће да делује као мост између сада распоређеног руткита и сервера за команду и контролу (Ц2, Ц&Ц) операције. Малвер ће комуницирати са Ц2 серверима и добити податке које ће затим пресрести претећи управљачки програм ВИННКИТ-а. Преко агента, Виннти нападачи могу да учитају нове модуле на заражени систем, отворе ЦМД шкољку, одбаце корисни терет за прикупљање акредитива и још много тога.