DEPLOYLOG

Була виявлена багаторічна кампанія кібершпигунської атаки, яку проводила підтримувана Китаєм група Winnti (Advanced Persistent Threat) (також відома як APT41, BARIUM і Blackfly). У звіті дослідників весь ланцюжок зараження хакерів був розкритий громадськості. Вважається, що під час загрозливої операції Віннті зміг отримати величезну кількість конфіденційної інформації, включаючи креслення, власні дані, діаграми та багато іншого. Жертвами стали компанії з Північної Америки, Європи та Азії, які працюють у технологічній і виробничій промисловості.

Згідно зі звітом, останній крок багатоетапного ланцюга зараження розгортає користувацький руткіт під назвою WINNKIT . Однак завдання розгортання, встановлення та активації руткіта делегується окремому зловмисному програмному забезпеченню під назвою DEPLOYLOG. Він скидається на зламаних системах як 64-розрядний файл DLL 'dbghelp.dll', загальне і часто використовуване ім'я, у C:\Windows\System32\WindowsPowerShell\v1.0 у спробі передати як легітимний файл.

Перше важливе завдання DEPLOYLOG — розгорнути руткіт WINNKIT. Це робиться, витягуючи остаточне корисне навантаження з файлу журналу CLFS і розшифровуючи отриманий вміст. Далі DEPLOYLOG зупинить службу драйвера ядра процесора AMD K8 amdk8. Цей факт може вказувати на те, що WINNTI зосереджена на компрометації машин, пов’язаних з AMD, а також має попередні знання про внутрішню інфраструктуру машин своїх жертв.

Друге завдання DEPLOYLOG — діяти як агент режиму користувача в системі. Він намагатиметься діяти як міст між тепер розгорнутим руткітом і серверами командування та керування (C2, C&C) операції. Шкідливе програмне забезпечення буде спілкуватися з серверами C2 і отримувати дані, які потім будуть перехоплені загрозливим драйвером WINNKIT. За допомогою агента зловмисники Winnti можуть завантажувати нові модулі в заражену систему, відкривати оболонку CMD, скинути корисне навантаження для збору облікових даних тощо.