DEPLOYLOG-Malware

DEPLOYLOG ist der Name eines schädlichen Tools, das mit dem Advanced Persistent Threat Actor von Winnti in Verbindung steht.

Die Winnti-Gruppe ist auch unter dem Namen APT41 bekannt und gilt als ein vom chinesischen Staat geförderter Bedrohungsakteur, der sich mit Cyberspionage befasst.

DEPLOYLOG ist ein neues Tool im Malware-Toolkit der Winnti-Gruppe. Das Tool wurde bei Angriffen verwendet, die von Sicherheitsforschern verfolgt wurden, die mit Cyberreason zusammenarbeiten.

Die Malware ist in der Lage, das CLFS- oder „Common Log File System“-Feature des Windows-Betriebssystems zu missbrauchen. Der Exploit wird selten gesehen und extrahiert Daten, die im CLFS gespeichert sind, und setzt dann einen bösartigen WINNKIT-Rootkit-Treiber ein, der auch ein benutzerdefiniertes Tool ist, das von der Winnti-Gruppe verwendet wird und als Kernel fungiert.

DEPLOYLOG wird in Verbindung mit einer Reihe anderer benutzerdefinierter bösartiger Tools in Winntis Arsenal verwendet, darunter Spyder – ein Backdoor-Tool, STASHLOG – ein Tool zum Speichern bösartiger Payloads in Windows CLFS, SPARKLOG und PRIVATELOG – zwei Tools, die zusammenarbeiten, und schließlich WINNKIT - der bösartige Kernel.

DEPLOYLOG ist ein neues Tool, das dem Arsenal von Winnti hinzugefügt wurde. Ein einzigartiges Merkmal des Angriffsvektors, der in Kampagnen mit DEPLOYLOG verwendet wird, ist der Fokus der Hacker darauf, eine legitime Windows-Funktion zu missbrauchen und ihre verschlüsselte bösartige Nutzlast darin zu speichern.

Die Angriffe mit DEPLOYLOG sind mehrstufig und umfassen komplexe Prozesse, mehrstufige Batch-Dateien, das Seitenladen bösartiger DLL-Dateien über legitime Windows-Dienste und die Manipulation der Windows-Registrierung, um das System des Opfers zu kompromittieren. DEPLOYLOG ist nur eines von mehreren Tools, die Winnti bei seinen Versuchen verwendet, das WINNKIT-Rootkit in das Zielsystem einzuschleusen.