DEPLOYLOGマルウェア
DEPLOYLOGは、Winntiの高度な持続的脅威アクターに関連する悪意のあるツールの名前です。
WinntiグループはAPT41という名前でも知られており、サイバースパイ活動を扱っている中国の国家支援の脅威アクターであると考えられています。
DEPLOYLOGは、Winntiグループの悪意のあるソフトウェアのツールキットの新しいツールです。このツールは、Cyberreasonと協力しているセキュリティ研究者によって追跡された攻撃で使用されました。
このマルウェアは、WindowsオペレーティングシステムのCLFSまたは「共通ログファイルシステム」機能を悪用する可能性があります。このエクスプロイトはめったに見られず、CLFSに保存されているデータを抽出し、Winntiグループが使用するカスタムツールでもあり、カーネルとして機能する悪意のあるWINNKITルートキットドライバーを展開します。
DEPLOYLOGは、Winntiの武器庫にある他の多くのカスタム悪意のあるツールと組み合わせて使用されます。たとえば、Spyder(バックドアツール)、STASHLOG(Windows CLFS、SPARKLOG、PRIVATELOG内に悪意のあるペイロードを格納するために使用されるツール)があります。 -悪意のあるカーネル。
DEPLOYLOGは、Winntiの兵器庫に追加された新しいツールです。 DEPLOYLOGを使用したキャンペーンで使用される攻撃ベクトルのユニークな機能は、ハッカーが正当なWindows機能を悪用し、暗号化された悪意のあるペイロードをその機能に格納することに焦点を当てていることです。
DEPLOYLOGを使用した攻撃は多段階であり、複雑なプロセス、多段階のバッチファイル、正規のWindowsサービスを介した悪意のあるDLLファイルのサイドローディング、および被害者のシステムを危険にさらすためのWindowsレジストリの操作が含まれます。 DEPLOYLOGは、WinntiがターゲットシステムにWINNKITルートキットを植え付けるために使用するいくつかのツールの1つにすぎません。