DEPLOYLOG

Một chiến dịch tấn công gián điệp mạng kéo dài nhiều năm do Winnti (còn được gọi là APT41, BARIUM và Blackfly) của nhóm APT (Mối đe dọa liên tục nâng cao) do Trung Quốc hậu thuẫn thực hiện đã được đưa ra ánh sáng. Trong một báo cáo của các nhà nghiên cứu, toàn bộ chuỗi lây nhiễm của tin tặc đã được tiết lộ cho công chúng. Trong chiến dịch đe dọa, Winnti được cho là đã có thể lấy được lượng lớn thông tin bí mật, bao gồm các bản thiết kế, dữ liệu độc quyền, sơ đồ và hơn thế nữa. Nạn nhân là các công ty đến từ Bắc Mỹ, Châu Âu và Châu Á, hoạt động trong lĩnh vực công nghệ và sản xuất.

Theo báo cáo, bước cuối cùng của chuỗi lây nhiễm nhiều giai đoạn triển khai rootkit tùy chỉnh có tên là WINNKIT . Tuy nhiên, nhiệm vụ triển khai, thiết lập và kích hoạt rootkit được giao cho một mối đe dọa phần mềm độc hại riêng biệt có tên là DEPLOYLOG. Nó bị loại bỏ trên các hệ thống bị vi phạm dưới dạng tệp DLL 64-bit 'dbghelp.dll', một tên chung và thường được sử dụng, tại C: \ Windows \ System32 \ WindowsPowerShell \ v1.0 trong nỗ lực chuyển thành một tệp hợp pháp.

Nhiệm vụ chính đầu tiên của DEPLOYLOG là triển khai bộ rootkit WINNKIT. Nó làm như vậy bằng cách trích xuất tải trọng cuối cùng từ tệp nhật ký CLFS và giải mã nội dung thu được. Tiếp theo, DEPLOYLOG sẽ dừng dịch vụ trình điều khiển nhân bộ xử lý AMD K8 amdk8. Thực tế này có thể chỉ ra rằng WINNTI đang tập trung vào việc thỏa hiệp các máy liên quan đến AMD và cũng có kiến thức trước về cơ sở hạ tầng bên trong của máy nạn nhân của họ

Nhiệm vụ thứ hai của DEPLOYLOG là hoạt động như một tác nhân chế độ người dùng trên hệ thống. Nó sẽ cố gắng hoạt động như một cầu nối giữa rootkit hiện đã được triển khai và các máy chủ Command-and-Control (C2, C&C) của hoạt động. Phần mềm độc hại sẽ giao tiếp với các máy chủ C2 và lấy dữ liệu sau đó sẽ bị chặn bởi trình điều khiển đe dọa của WINNKIT. Thông qua tác nhân, những kẻ tấn công Winnti có thể tải các mô-đun mới trên hệ thống bị nhiễm, mở CMD shell, thả tải thu thập thông tin xác thực và hơn thế nữa.