DEPLOYLOG

中国が支援するAPT（Advanced Persistent Threat）グループのWinnti （APT41、BARIUM、Blackflyとも呼ばれます）が実施した長年にわたるサイバースパイ攻撃キャンペーンが明るみに出ました。研究者による報告では、ハッカーの感染連鎖全体が一般に公開されています。 Winntiは、脅迫的な作戦中に、青写真、専有データ、図など、膨大な量の機密情報を入手できたと考えられています。被害者は、北米、ヨーロッパ、アジアの企業であり、テクノロジーおよび製造業で事業を行っています。

レポートによると、多段階感染チェーンの最終ステップでは、 WINNKITと呼ばれるカスタムルートキットが展開されます。ただし、ルートキットの展開、確立、およびアクティブ化のタスクは、DEPLOYLOGという名前の別のマルウェア脅威に委任されます。侵害されたシステムでは、正規のファイルとして渡そうとして、C：\ Windows \ System32 \ WindowsPowerShell\v1.0に64ビットDLLファイル「dbghelp.dll」としてドロップされます。これは一般的で一般的に使用される名前です。

DEPLOYLOGの最初の主要なタスクは、WINNKITルートキットを展開することです。これは、CLFSログファイルから最終的なペイロードを抽出し、取得したコンテンツを復号化することによって行われます。次に、DEPLOYLOGはAMDK8プロセッサカーネルドライバサービスamdk8を停止します。この事実は、WINNTIがAMD関連のマシンの侵害に焦点を合わせており、被害者のマシンの内部インフラストラクチャについて事前の知識を持っていることを示している可能性があります。

DEPLOYLOGの2番目のタスクは、システム上でユーザーモードエージェントとして機能することです。これは、現在展開されているルートキットと操作のコマンドアンドコントロール（C2、C＆C）サーバー間のブリッジとして機能しようとします。マルウェアはC2サーバーと通信し、データを取得します。データは、WINNKITの脅威となるドライバーによって傍受されます。 Winntiの攻撃者は、エージェントを介して、感染したシステムに新しいモジュールをロードしたり、CMDシェルを開いたり、資格情報を収集するペイロードを削除したりすることができます。