DEPLOYLOG Malware
DEPLOYLOG è il nome di uno strumento dannoso associato all'avanzato attore di minacce persistenti Winnti.
Il gruppo Winnti è anche conosciuto con il nome APT41 e si ritiene che sia un attore di minacce sponsorizzato dallo stato cinese, che si occupa di spionaggio informatico.
DEPLOYLOG è un nuovo strumento nel toolkit di software dannoso del gruppo Winnti. Lo strumento è stato utilizzato negli attacchi monitorati dai ricercatori di sicurezza che lavorano con Cyberreason.
Il malware è in grado di abusare della funzione CLFS o "file di registro comune" del sistema operativo Windows. L'exploit viene visto raramente ed estrae i dati archiviati nel CLFS, quindi distribuisce un driver rootkit WINNKIT dannoso che è anche uno strumento personalizzato utilizzato dal gruppo Winnti e funge da kernel.
DEPLOYLOG viene utilizzato insieme a una serie di altri strumenti dannosi personalizzati nell'arsenale di Winnti, tra cui Spyder - uno strumento backdoor, STASHLOG - uno strumento utilizzato per archiviare payload dannosi all'interno del CLFS di Windows, SPARKLOG e PRIVATELOG - due strumenti che funzionano insieme e infine WINNKIT - il kernel dannoso.
DEPLOYLOG è un nuovo strumento aggiunto all'arsenale di Winnti. Una caratteristica unica del vettore di attacco utilizzato nelle campagne che utilizzano DEPLOYLOG è l'attenzione degli hacker sull'abuso di una funzionalità legittima di Windows e sull'archiviazione del loro payload dannoso crittografato al suo interno.
Gli attacchi che utilizzano DEPLOYLOG sono multifase e coinvolgono processi complessi, file batch multifase, caricamento laterale di file DLL dannosi tramite servizi Windows legittimi e manipolazione del registro di Windows per compromettere il sistema vittima. DEPLOYLOG è solo uno dei numerosi strumenti utilizzati da Winnti nei loro tentativi di installare il rootkit WINNKIT nel sistema di destinazione.