DEPLOYLOG κακόβουλο λογισμικό
DEPLOYLOG είναι το όνομα ενός κακόβουλου εργαλείου που σχετίζεται με τον προηγμένο παράγοντα επίμονης απειλής Winnti.
Η ομάδα Winnti είναι επίσης γνωστή με το όνομα APT41 και πιστεύεται ότι είναι ένας κινεζικός κρατικός φορέας απειλών, ο οποίος ασχολείται με την κατασκοπεία στον κυβερνοχώρο.
Το DEPLOYLOG είναι ένα νέο εργαλείο στην εργαλειοθήκη κακόβουλου λογισμικού του ομίλου Winnti. Το εργαλείο χρησιμοποιήθηκε σε επιθέσεις που παρακολουθούσαν ερευνητές ασφαλείας που συνεργάζονταν με την Cyberreason.
Το κακόβουλο λογισμικό μπορεί να κάνει κατάχρηση της δυνατότητας CLFS ή "κοινό σύστημα αρχείων καταγραφής" του λειτουργικού συστήματος Windows. Το exploit εμφανίζεται σπάνια και εξάγει δεδομένα που είναι αποθηκευμένα στο CLFS, στη συνέχεια αναπτύσσει ένα κακόβουλο πρόγραμμα οδήγησης rootkit WINNKIT που είναι επίσης ένα προσαρμοσμένο εργαλείο που χρησιμοποιείται από την ομάδα Winnti και λειτουργεί ως πυρήνας.
Το DEPLOYLOG χρησιμοποιείται σε συνδυασμό με μια σειρά από άλλα προσαρμοσμένα κακόβουλα εργαλεία στο οπλοστάσιο της Winnti, όπως το Spyder - ένα εργαλείο backdoor, το STASHLOG - ένα εργαλείο που χρησιμοποιείται για την αποθήκευση κακόβουλων φορτίων μέσα στα Windows CLFS, SPARKLOG και PRIVATELOG - δύο εργαλεία που λειτουργούν σε συνδυασμό και τέλος WINKIT - ο κακόβουλος πυρήνας.
Το DEPLOYLOG είναι ένα νέο εργαλείο που προστέθηκε στο οπλοστάσιο της Winnti. Ένα μοναδικό χαρακτηριστικό του φορέα επίθεσης που χρησιμοποιείται σε καμπάνιες που χρησιμοποιούν DEPLOYLOG είναι η εστίαση των χάκερ στην κατάχρηση μιας νόμιμης δυνατότητας των Windows και στην αποθήκευση του κρυπτογραφημένου κακόβουλου ωφέλιμου φορτίου τους σε αυτό.
Οι επιθέσεις που χρησιμοποιούν το DEPLOYLOG είναι πολλαπλών σταδίων και περιλαμβάνουν περίπλοκες διεργασίες, δέσμες αρχείων πολλών σταδίων, πλευρική φόρτωση κακόβουλων αρχείων DLL μέσω νόμιμων υπηρεσιών των Windows και χειρισμό του μητρώου των Windows για παραβίαση του συστήματος θύματος. Το DEPLOYLOG είναι μόνο ένα από τα πολλά εργαλεία που χρησιμοποιεί η Winnti στις προσπάθειές της να φυτέψει το rootkit WINNKIT στο στοχευμένο σύστημα.
