DEPLOYLOG
由中國支持的 APT(高級持續威脅)組織Winnti (也稱為 APT41、BARIUM 和 Blackfly)實施的長達數年的網絡間諜攻擊活動已被曝光。在研究人員的一份報告中,黑客的整個感染鏈已經向公眾披露。據信,在威脅行動期間,Winnti 能夠獲得大量機密信息,包括藍圖、專有數據、圖表等等。受害者是來自北美、歐洲和亞洲的公司,在技術和製造業中運營。
根據該報告,多階段感染鏈的最後一步部署了一個名為WINNKIT的自定義 rootkit。但是,部署、建立和激活 rootkit 的任務被委派給名為 DEPLOYLOG 的單獨惡意軟件威脅。它作為 64 位 DLL 文件“dbghelp.dll”被丟棄在被破壞的系統上,這是一個通用且常用的名稱,位於 C:\Windows\System32\WindowsPowerShell\v1.0,試圖作為合法文件傳遞。
DEPLOYLOG 的第一個主要任務是部署 WINNKIT rootkit。它通過從 CLFS 日誌文件中提取最終有效負載並解密獲取的內容來實現。接下來,DEPLOYLOG 將停止 AMD K8 處理器內核驅動服務 amdk8。這一事實可能表明 WINNTI 專注於破壞與 AMD 相關的機器,並且還對受害者機器的內部基礎設施有先驗知識
DEPLOYLOG 的第二個任務是充當系統上的用戶模式代理。它將嘗試充當現在部署的 rootkit 和操作的命令和控制(C2、C&C)服務器之間的橋樑。該惡意軟件將與 C2 服務器通信並獲取數據,然後這些數據將被 WINNKIT 的威脅驅動程序攔截。通過該代理,Winnti 攻擊者可以在受感染的系統上加載新模塊、打開 CMD 外殼、丟棄憑據收集負載等。
