DEPLOYLOG
Isang taon-taon nang kampanyang pag-atake sa cyberespionage na isinagawa ng grupong Winnti (Advanced Persistent Threat) na suportado ng China (kilala rin bilang APT41, BARIUM, at Blackfly). Sa isang ulat ng mga mananaliksik, ang buong chain ng impeksyon ng mga hacker ay ibinunyag sa publiko. Sa panahon ng pagbabanta ng operasyon, pinaniniwalaang nakakuha si Winnti ng napakaraming kumpidensyal na impormasyon, kabilang ang mga blueprint, proprietary data, diagram at marami pa. Ang mga biktima ay mga kumpanya mula sa North America, Europe, at Asia, na tumatakbo sa teknolohiya at mga industriya ng pagmamanupaktura.
Ayon sa ulat, ang huling hakbang ng multi-stage infection chain ay nag-deploy ng custom na rootkit na tinatawag na WINNKIT . Gayunpaman, ang gawain ng pag-deploy, pagtatatag, at pag-activate ng rootkit ay itinalaga sa isang hiwalay na banta ng malware na pinangalanang DEPLOYLOG. Ibinaba ito sa mga nilabag na system bilang isang 64-bit na DLL file na 'dbghelp.dll,' isang generic at karaniwang ginagamit na pangalan, sa C:\Windows\System32\WindowsPowerShell\v1.0 sa pagtatangkang pumasa bilang isang lehitimong file.
Ang unang pangunahing gawain ng DEPLOYLOG ay i-deploy ang WINNKIT rootkit. Ginagawa ito sa pamamagitan ng pag-extract ng huling payload mula sa isang CLFS log file at pag-decrypting sa nakuhang content. Susunod, ihihinto ng DEPLOYLOG ang AMD K8 processor kernel driver service amdk8. Ang katotohanang ito ay maaaring tumukoy sa WINNTI na nakatuon sa pagkompromiso sa mga makinang nauugnay sa AMD at pagkakaroon din ng paunang kaalaman tungkol sa panloob na imprastraktura ng mga makina ng kanilang mga biktima.
Ang pangalawang gawain ng DEPLOYLOG ay kumilos bilang ahente ng user-mode sa system. Susubukan nitong kumilos bilang tulay sa pagitan ng naka-deploy na rootkit at ng Command-and-Control (C2, C&C) server ng operasyon. Makikipag-ugnayan ang malware sa mga C2 server at kukuha ng data na haharangin ng nagbabantang driver ng WINNKIT. Sa pamamagitan ng ahente, ang mga umaatake sa Winnti ay maaaring mag-load ng mga bagong module sa nahawaang sistema, magbukas ng CMD shell, mag-drop ng kargamento sa pagkolekta ng kredensyal at higit pa.
