DEPLOYLOG Malware

DEPLOYLOG er navnet på et ondsindet værktøj forbundet med Winnti avancerede persistent trussel-aktør.

Winnti-gruppen er også kendt under navnet APT41 og menes at være en kinesisk statssponsoreret trusselsaktør, der beskæftiger sig med cyberspionage.

DEPLOYLOG er et nyt værktøj i Winnti-gruppens værktøjssæt af skadelig software. Værktøjet blev brugt i angreb sporet af sikkerhedsforskere, der arbejder med Cyberreason.

Malwaren er i stand til at misbruge CLFS- eller "fælles logfilsystem"-funktionen i Windows-operativsystemet. Udnyttelsen ses sjældent og udtrækker data, der er gemt i CLFS, og implementerer derefter en ondsindet WINNKIT rootkit-driver, der også er et brugerdefineret værktøj, der bruges af Winnti-gruppen og fungerer som en kerne.

DEPLOYLOG bruges sammen med en række andre brugerdefinerede ondsindede værktøjer i Winntis arsenal, inklusive Spyder - et bagdørsværktøj, STASHLOG - et værktøj, der bruges til at gemme ondsindede nyttelaster inde i Windows CLFS, SPARKLOG og PRIVATELOG - to værktøjer, der arbejder sammen og endelig WINNKIT - den ondsindede kerne.

DEPLOYLOG er et nyt værktøj tilføjet til Winntis arsenal. Et unikt træk ved den angrebsvektor, der bruges i kampagner, der bruger DEPLOYLOG, er hackernes fokus på at misbruge en legitim Windows-funktion og gemme deres krypterede ondsindede nyttelast i den.

Angrebene ved hjælp af DEPLOYLOG er flere trin og involverer komplekse processer, flertrins batchfiler, sideindlæsning af ondsindede DLL-filer gennem legitime Windows-tjenester og manipulation af Windows-registreringsdatabasen for at kompromittere offersystemet. DEPLOYLOG er blot et af de mange værktøjer, Winnti bruger i deres forsøg på at plante WINNKIT rootkit i det målrettede system.