DEPLOYLOG Malware

DEPLOYLOG è il nome di uno strumento dannoso associato all'avanzato attore di minacce persistenti Winnti.

Il gruppo Winnti è anche conosciuto con il nome APT41 e si ritiene che sia un attore di minacce sponsorizzato dallo stato cinese, che si occupa di spionaggio informatico.

DEPLOYLOG è un nuovo strumento nel toolkit di software dannoso del gruppo Winnti. Lo strumento è stato utilizzato negli attacchi monitorati dai ricercatori di sicurezza che lavorano con Cyberreason.

Il malware è in grado di abusare della funzione CLFS o "file di registro comune" del sistema operativo Windows. L'exploit viene visto raramente ed estrae i dati archiviati nel CLFS, quindi distribuisce un driver rootkit WINNKIT dannoso che è anche uno strumento personalizzato utilizzato dal gruppo Winnti e funge da kernel.

DEPLOYLOG viene utilizzato insieme a una serie di altri strumenti dannosi personalizzati nell'arsenale di Winnti, tra cui Spyder - uno strumento backdoor, STASHLOG - uno strumento utilizzato per archiviare payload dannosi all'interno del CLFS di Windows, SPARKLOG e PRIVATELOG - due strumenti che funzionano insieme e infine WINNKIT - il kernel dannoso.

DEPLOYLOG è un nuovo strumento aggiunto all'arsenale di Winnti. Una caratteristica unica del vettore di attacco utilizzato nelle campagne che utilizzano DEPLOYLOG è l'attenzione degli hacker sull'abuso di una funzionalità legittima di Windows e sull'archiviazione del loro payload dannoso crittografato al suo interno.

Gli attacchi che utilizzano DEPLOYLOG sono multifase e coinvolgono processi complessi, file batch multifase, caricamento laterale di file DLL dannosi tramite servizi Windows legittimi e manipolazione del registro di Windows per compromettere il sistema vittima. DEPLOYLOG è solo uno dei numerosi strumenti utilizzati da Winnti nei loro tentativi di installare il rootkit WINNKIT nel sistema di destinazione.