DEPLOYLOG

แคมเปญการโจมตีจารกรรมทางไซเบอร์เป็นเวลานานหลายปีที่ดำเนินการโดยกลุ่ม APT (ภัยคุกคามถาวรขั้นสูง) ที่ได้รับการสนับสนุนจากจีน Winnti (หรือที่รู้จักในชื่อ APT41, BARIUM และ Blackfly) ได้รับการเปิดเผย ในรายงานของนักวิจัย ห่วงโซ่การติดไวรัสทั้งหมดของแฮ็กเกอร์ได้ถูกเปิดเผยต่อสาธารณชนแล้ว ในระหว่างการปฏิบัติการที่คุกคาม เชื่อกันว่า Winnti สามารถได้รับข้อมูลลับจำนวนมหาศาล ซึ่งรวมถึงพิมพ์เขียว ข้อมูลที่เป็นกรรมสิทธิ์ ไดอะแกรม และอื่นๆ อีกมากมาย เหยื่อคือบริษัทจากอเมริกาเหนือ ยุโรป และเอเชีย ซึ่งดำเนินงานในอุตสาหกรรมเทคโนโลยีและการผลิต

ตามรายงาน ขั้นตอนสุดท้ายของห่วงโซ่การติดไวรัสแบบหลายขั้นตอนปรับใช้รูทคิตแบบกำหนดเองที่ชื่อว่า WINNKIT อย่างไรก็ตาม งานของการปรับใช้ การสร้าง และการเปิดใช้งานรูทคิตนั้นได้รับมอบหมายให้เป็นภัยคุกคามมัลแวร์แยกต่างหากที่ชื่อว่า DEPLOYLOG ไฟล์ DLL แบบ 64 บิตถูกทิ้งในระบบที่ถูกละเมิด 'dbghelp.dll' ซึ่งเป็นชื่อทั่วไปและใช้กันทั่วไป ที่ C:\Windows\System32\WindowsPowerShell\v1.0 เพื่อพยายามส่งผ่านเป็นไฟล์ที่ถูกต้อง

งานหลักชิ้นแรกของ DEPLOYLOG คือการปรับใช้รูทคิต WINNKIT ทำได้โดยแยกส่วนข้อมูลสุดท้ายออกจากไฟล์บันทึก CLFS และถอดรหัสเนื้อหาที่ได้รับ ถัดไป DEPLOYLOG จะหยุดบริการไดรเวอร์เคอร์เนลของโปรเซสเซอร์ AMD K8 amdk8 ข้อเท็จจริงนี้อาจชี้ไปที่ WINNTI มุ่งเน้นไปที่การประนีประนอมเครื่องที่เกี่ยวข้องกับ AMD และยังมีความรู้ล่วงหน้าเกี่ยวกับโครงสร้างพื้นฐานภายในของเครื่องของเหยื่อ

งานที่สองของ DEPLOYLOG คือทำหน้าที่เป็นเอเจนต์โหมดผู้ใช้บนระบบ จะพยายามทำหน้าที่เป็นสะพานเชื่อมระหว่างรูทคิตที่ปรับใช้ในขณะนี้และเซิร์ฟเวอร์ Command-and-Control (C2, C&C) ของการดำเนินการ มัลแวร์จะสื่อสารกับเซิร์ฟเวอร์ C2 และรับข้อมูลซึ่งจะถูกดักจับโดยโปรแกรมควบคุมที่คุกคามของ WINNKIT ผู้โจมตี Winnti สามารถโหลดโมดูลใหม่บนระบบที่ติดไวรัส เปิด CMD เชลล์ ปล่อยข้อมูลการรวบรวมข้อมูลการเข้าสู่ระบบผ่านเอเจนต์ และอีกมากมาย