Malware DEPLOYLOG
DEPLOYLOG es el nombre de una herramienta maliciosa asociada con el actor de amenazas persistente avanzado de Winnti.
El grupo Winnti también se conoce con el nombre de APT41 y se cree que es un actor de amenazas patrocinado por el estado chino que se dedica al espionaje cibernético.
DEPLOYLOG es una nueva herramienta en el conjunto de herramientas de software malicioso del grupo Winnti. La herramienta se utilizó en ataques rastreados por investigadores de seguridad que trabajan con Cyberreason.
El malware puede abusar de la función CLFS o "sistema de archivo de registro común" del sistema operativo Windows. El exploit rara vez se ve y extrae datos almacenados en CLFS, luego implementa un controlador de rootkit WINNKIT malicioso que también es una herramienta personalizada utilizada por el grupo Winnti y actúa como un kernel.
DEPLOYLOG se usa junto con una serie de otras herramientas maliciosas personalizadas en el arsenal de Winnti, incluido Spyder, una herramienta de puerta trasera, STASHLOG, una herramienta que se usa para almacenar cargas maliciosas dentro de Windows CLFS, SPARKLOG y PRIVATELOG, dos herramientas que funcionan en conjunto y, finalmente, WINNKIT - el núcleo malicioso.
DEPLOYLOG es una nueva herramienta añadida al arsenal de Winnti. Una característica única del vector de ataque utilizado en las campañas que utilizan DEPLOYLOG es que los piratas informáticos se concentran en abusar de una función legítima de Windows y almacenar su carga maliciosa cifrada en ella.
Los ataques que utilizan DEPLOYLOG son de varios pasos e involucran procesos complejos, archivos por lotes de varias etapas, carga lateral de archivos DLL maliciosos a través de servicios legítimos de Windows y manipulación del registro de Windows para comprometer el sistema de la víctima. DEPLOYLOG es solo una de las varias herramientas que usa Winnti en sus intentos de plantar el rootkit WINNKIT en el sistema de destino.