DEPLOYLOG

En år lång cyberspionageattackkampanj utförd av den kinesiskstödda APT-gruppen (Advanced Persistent Threat) Winnti (även känd som APT41, BARIUM och Blackfly) har uppdagats. I en rapport från forskare har hackarnas hela infektionskedja avslöjats för allmänheten. Under den hotfulla operationen tros Winnti ha kunnat få tag i stora mängder konfidentiell information, inklusive ritningar, patentskyddad data, diagram och mycket mer. Offren är företag från Nordamerika, Europa och Asien, verksamma inom teknik- och tillverkningsindustrin.

Enligt rapporten distribuerar det sista steget i flerstegsinfektionskedjan ett anpassat rootkit kallat WINNKIT . Uppgiften att distribuera, etablera och aktivera rootkit är dock delegerad till ett separat skadlig programvara som heter DEPLOYLOG. Den släpps på de intrångade systemen som en 64-bitars DLL-fil 'dbghelp.dll', ett generiskt och vanligt förekommande namn, på C:\Windows\System32\WindowsPowerShell\v1.0 i ett försök att passera som en legitim fil.

Den första stora uppgiften för DEPLOYLOG är att distribuera WINNKIT rootkit. Det gör det genom att extrahera den slutliga nyttolasten från en CLFS-loggfil och dekryptera det förvärvade innehållet. Därefter kommer DEPLOYLOG att stoppa AMD K8-processorkärndrivrutintjänsten amdk8. Detta faktum kan peka mot att WINNTI fokuserar på att kompromissa med AMD-relaterade maskiner och även har förkunskaper om den interna infrastrukturen för sina offers maskiner

Den andra uppgiften för DEPLOYLOG är att agera som en user-mode agent på systemet. Den kommer att försöka fungera som en brygga mellan det nu utplacerade rootkit och operationens Command-and-Control-servrar (C2, C&C). Skadlig programvara kommer att kommunicera med C2-servrarna och få data som sedan kommer att fångas upp av den hotande drivrutinen för WINNKIT. Genom agenten kan Winnti-angriparna ladda nya moduler på det infekterade systemet, öppna ett CMD-skal, släppa nyttolast som samlar in autentiseringsuppgifter och mer.