DEPLOYLOG
由中国支持的 APT(高级持续威胁)组织Winnti (也称为 APT41、BARIUM 和 Blackfly)实施的长达数年的网络间谍攻击活动已被曝光。在研究人员的一份报告中,黑客的整个感染链已经向公众披露。据信,在威胁行动期间,Winnti 能够获得大量机密信息,包括蓝图、专有数据、图表等等。受害者是来自北美、欧洲和亚洲的技术和制造业公司。
根据该报告,多阶段感染链的最后一步部署了一个名为WINNKIT的自定义 rootkit。但是,部署、建立和激活 rootkit 的任务被委派给名为 DEPLOYLOG 的单独恶意软件威胁。它作为 64 位 DLL 文件“dbghelp.dll”被丢弃在被破坏的系统上,这是一个通用且常用的名称,位于 C:\Windows\System32\WindowsPowerShell\v1.0,试图作为合法文件传递。
DEPLOYLOG 的第一个主要任务是部署 WINNKIT rootkit。它通过从 CLFS 日志文件中提取最终有效负载并解密获取的内容来实现。接下来,DEPLOYLOG 将停止 AMD K8 处理器内核驱动服务 amdk8。这一事实可能表明 WINNTI 专注于破坏与 AMD 相关的机器,并且还对受害者机器的内部基础设施有先验知识
DEPLOYLOG 的第二个任务是充当系统上的用户模式代理。它将尝试充当现在部署的 rootkit 和操作的命令和控制(C2、C&C)服务器之间的桥梁。该恶意软件将与 C2 服务器通信并获取数据,然后这些数据将被 WINNKIT 的威胁驱动程序拦截。通过该代理,Winnti 攻击者可以在受感染的系统上加载新模块、打开 CMD 外壳、丢弃凭据收集负载等。
