Logiciels malveillants DEPLOYLOG
DEPLOYLOG est le nom d'un outil malveillant associé à l'acteur de menace persistante avancée Winnti.
Le groupe Winnti est également connu sous le nom d'APT41 et serait un acteur de la menace parrainé par l'État chinois, spécialisé dans le cyberespionnage.
DEPLOYLOG est un nouvel outil de la boîte à outils de logiciels malveillants du groupe Winnti. L'outil a été utilisé dans des attaques suivies par des chercheurs en sécurité travaillant avec Cyberreason.
Le logiciel malveillant est capable d'abuser de la fonctionnalité CLFS ou "système de fichiers journaux communs" du système d'exploitation Windows. L'exploit est rarement vu et extrait les données stockées dans le CLFS, puis déploie un pilote de rootkit WINNKIT malveillant qui est également un outil personnalisé utilisé par le groupe Winnti et agit comme un noyau.
DEPLOYLOG est utilisé en conjonction avec un certain nombre d'autres outils malveillants personnalisés dans l'arsenal de Winnti, y compris Spyder - un outil de porte dérobée, STASHLOG - un outil utilisé pour stocker des charges utiles malveillantes à l'intérieur du CLFS Windows, SPARKLOG et PRIVATELOG - deux outils fonctionnant en conjonction et enfin WINNKIT - le noyau malveillant.
DEPLOYLOG est un nouvel outil ajouté à l'arsenal de Winnti. Une caractéristique unique du vecteur d'attaque utilisé dans les campagnes utilisant DEPLOYLOG est l'accent mis par les pirates sur l'abus d'une fonctionnalité Windows légitime et le stockage de leur charge utile malveillante chiffrée dans celle-ci.
Les attaques utilisant DEPLOYLOG sont en plusieurs étapes et impliquent des processus complexes, des fichiers batch en plusieurs étapes, le chargement latéral de fichiers DLL malveillants via des services Windows légitimes et la manipulation du registre Windows pour compromettre le système victime. DEPLOYLOG n'est que l'un des nombreux outils que Winnti utilise pour tenter d'implanter le rootkit WINNKIT dans le système ciblé.