DEPLOYLOG

சீன ஆதரவு பெற்ற APT (மேம்பட்ட பெர்சிஸ்டண்ட் த்ரெட்) குழுவான Winnti (APT41, BARIUM மற்றும் Blackfly என்றும் அறியப்படும்) மூலம் பல ஆண்டுகளாக மேற்கொள்ளப்பட்ட இணைய உளவுத் தாக்குதல் பிரச்சாரம் வெளிச்சத்திற்குக் கொண்டுவரப்பட்டுள்ளது. ஆராய்ச்சியாளர்களின் அறிக்கையில், ஹேக்கர்களின் முழு தொற்று சங்கிலியும் பொதுமக்களுக்கு தெரியவந்துள்ளது. அச்சுறுத்தும் செயல்பாட்டின் போது, ப்ளூபிரிண்ட்கள், தனியுரிம தரவு, வரைபடங்கள் மற்றும் பலவற்றை உள்ளடக்கிய பெரிய அளவிலான ரகசிய தகவல்களை Winnti பெற முடிந்ததாக நம்பப்படுகிறது. பாதிக்கப்பட்டவர்கள் வட அமெரிக்கா, ஐரோப்பா மற்றும் ஆசியாவைச் சேர்ந்த நிறுவனங்கள், தொழில்நுட்பம் மற்றும் உற்பத்தித் தொழில்களில் செயல்படுகின்றன.

அறிக்கையின்படி, பல-நிலை தொற்று சங்கிலியின் இறுதிப் படியானது WINNKIT எனப்படும் தனிப்பயன் ரூட்கிட்டைப் பயன்படுத்துகிறது. இருப்பினும், ரூட்கிட்டை வரிசைப்படுத்துதல், நிறுவுதல் மற்றும் செயல்படுத்துதல் ஆகியவை DEPLOYLOG என்ற தனி தீம்பொருள் அச்சுறுத்தலுக்கு வழங்கப்படுகின்றன. இது மீறப்பட்ட கணினிகளில் 64-பிட் DLL கோப்பாக 'dbghelp.dll,' ஒரு பொதுவான மற்றும் பொதுவாகப் பயன்படுத்தப்படும் பெயர், C:\Windows\System32\WindowsPowerShell\v1.0 இல் ஒரு முறையான கோப்பாக அனுப்பும் முயற்சியில் கைவிடப்பட்டது.

DEPLOYLOG இன் முதல் முக்கிய பணி WINNKIT ரூட்கிட்டை பயன்படுத்துவதாகும். இது ஒரு CLFS பதிவு கோப்பிலிருந்து இறுதி பேலோடை பிரித்தெடுத்து, வாங்கிய உள்ளடக்கத்தை மறைகுறியாக்குகிறது. அடுத்து, DEPLOYLOG ஆனது AMD K8 செயலி கர்னல் இயக்கி சேவை amdk8 ஐ நிறுத்தும். இந்த உண்மை WINNTI ஆனது AMD தொடர்பான இயந்திரங்களை சமரசம் செய்வதில் கவனம் செலுத்துவதையும், பாதிக்கப்பட்டவர்களின் இயந்திரங்களின் உள்கட்டமைப்பு குறித்தும் முன்கூட்டியே அறிந்திருப்பதையும் சுட்டிக்காட்டலாம்.

DEPLOYLOG இன் இரண்டாவது பணியானது கணினியில் ஒரு பயனர் பயன்முறை முகவராகச் செயல்படுவதாகும். இது இப்போது பயன்படுத்தப்பட்ட ரூட்கிட் மற்றும் செயல்பாட்டின் கட்டளை மற்றும் கட்டுப்பாடு (C2, C&C) சேவையகங்களுக்கு இடையே ஒரு பாலமாக செயல்பட முயற்சிக்கும். தீம்பொருள் C2 சேவையகங்களுடன் தொடர்புகொண்டு தரவைப் பெறும், பின்னர் WINNKIT இன் அச்சுறுத்தும் இயக்கி இடைமறிக்கப்படும். முகவர் மூலம், Winnti தாக்குபவர்கள் பாதிக்கப்பட்ட கணினியில் புதிய தொகுதிகளை ஏற்றலாம், CMD ஷெல்லைத் திறக்கலாம், நற்சான்றிதழ் சேகரிக்கும் பேலோடை கைவிடலாம் மற்றும் பலவற்றை செய்யலாம்.