DEPLOYLOG

చైనీస్-మద్దతుగల APT (అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్) గ్రూప్ వింటి ( APT41 , BARIUM మరియు బ్లాక్‌ఫ్లై అని కూడా పిలుస్తారు) ద్వారా అనేక సంవత్సరాలపాటు జరిగిన సైబర్‌స్పియోనేజ్ దాడి ప్రచారం వెలుగులోకి వచ్చింది. పరిశోధకుల నివేదికలో, హ్యాకర్ల మొత్తం ఇన్ఫెక్షన్ చైన్ ప్రజలకు వెల్లడైంది. బెదిరింపు ఆపరేషన్ సమయంలో, బ్లూప్రింట్‌లు, యాజమాన్య డేటా, రేఖాచిత్రాలు మరియు మరెన్నో సహా చాలా రహస్య సమాచారాన్ని Winnti పొందగలిగిందని నమ్ముతారు. బాధితులు ఉత్తర అమెరికా, యూరప్ మరియు ఆసియాకు చెందిన కంపెనీలు, సాంకేతికత మరియు తయారీ పరిశ్రమలలో పనిచేస్తున్నాయి.

నివేదిక ప్రకారం, బహుళ-దశల ఇన్ఫెక్షన్ చైన్ యొక్క చివరి దశ WINNKIT అని పిలువబడే అనుకూల రూట్‌కిట్‌ను అమలు చేస్తుంది. అయినప్పటికీ, రూట్‌కిట్‌ని అమలు చేయడం, స్థాపించడం మరియు సక్రియం చేయడం అనే పని DEPLOYLOG అనే ప్రత్యేక మాల్వేర్ ముప్పుకు అప్పగించబడింది. ఇది 64-బిట్ DLL ఫైల్ 'dbghelp.dll' వలె ఉల్లంఘించబడిన సిస్టమ్‌లలో ఒక సాధారణ మరియు సాధారణంగా ఉపయోగించే పేరు, C:\Windows\System32\WindowsPowerShell\v1.0 వద్ద చట్టబద్ధమైన ఫైల్‌గా పాస్ చేసే ప్రయత్నంలో డ్రాప్ చేయబడింది.

DEPLOYLOG యొక్క మొదటి ప్రధాన పని WINNKIT రూట్‌కిట్‌ని అమలు చేయడం. ఇది CLFS లాగ్ ఫైల్ నుండి తుది పేలోడ్‌ను సంగ్రహించడం మరియు పొందిన కంటెంట్‌ను డీక్రిప్ట్ చేయడం ద్వారా అలా చేస్తుంది. తర్వాత, DEPLOYLOG AMD K8 ప్రాసెసర్ కెర్నల్ డ్రైవర్ సేవ amdk8ని ఆపివేస్తుంది. ఈ వాస్తవం WINNTI AMD-సంబంధిత మెషీన్‌లను రాజీ చేయడంపై దృష్టి పెట్టడం మరియు వారి బాధితుల మెషీన్‌ల అంతర్గత మౌలిక సదుపాయాల గురించి ముందస్తుగా తెలుసుకోవడంపై దృష్టి పెట్టవచ్చు.

సిస్టమ్‌లో వినియోగదారు-మోడ్ ఏజెంట్‌గా పనిచేయడం DEPLOYLOG యొక్క రెండవ పని. ఇది ఇప్పుడు అమలు చేయబడిన రూట్‌కిట్ మరియు ఆపరేషన్ యొక్క కమాండ్-అండ్-కంట్రోల్ (C2, C&C) సర్వర్‌ల మధ్య వారధిగా పని చేయడానికి ప్రయత్నిస్తుంది. మాల్వేర్ C2 సర్వర్‌లతో కమ్యూనికేట్ చేస్తుంది మరియు డేటాను పొందుతుంది, అది WINNKIT యొక్క బెదిరింపు డ్రైవర్ ద్వారా అడ్డగించబడుతుంది. ఏజెంట్ ద్వారా, Winnti దాడి చేసేవారు సోకిన సిస్టమ్‌లో కొత్త మాడ్యూల్‌లను లోడ్ చేయవచ్చు, CMD షెల్‌ను తెరవవచ్చు, క్రెడెన్షియల్-కలెక్టింగ్ పేలోడ్‌ను వదలవచ్చు మరియు మరిన్ని చేయవచ్చు.