DEPLOYLOG kenkėjiška programa

DEPLOYLOG yra kenkėjiško įrankio, susieto su Winnti pažangiu nuolatinės grėsmės veikėju, pavadinimas.

Winnti grupė taip pat žinoma APT41 pavadinimu ir, kaip manoma, yra Kinijos valstybės remiama grėsmių veikėja, užsiimanti kibernetiniu šnipinėjimu.

DEPLOYLOG yra naujas įrankis Winnti grupės kenkėjiškos programinės įrangos rinkinyje. Šis įrankis buvo naudojamas atakose, kurias stebėjo saugumo tyrinėtojai, dirbantys su „Cyberreason“.

Kenkėjiška programa gali piktnaudžiauti „Windows“ operacinės sistemos CLFS arba „bendros žurnalo failų sistemos“ funkcija. Išnaudojimas retai pastebimas ir ištraukia duomenis, saugomus CLFS, tada diegia kenkėjišką WINNKIT rootkit tvarkyklę, kuri taip pat yra pasirinktinis įrankis, kurį naudoja Winnti grupė ir veikia kaip branduolys.

DEPLOYLOG naudojamas kartu su daugeliu kitų pasirinktinių kenkėjiškų įrankių Winnti arsenale, įskaitant Spyder – galinių durų įrankį, STASHLOG – įrankį, naudojamą kenksmingiems kroviniams saugoti Windows CLFS, SPARKLOG ir PRIVATELOG – du kartu veikiančius įrankius ir galiausiai WINNKIT. - kenkėjiškas branduolys.

DEPLOYLOG yra naujas įrankis, įtrauktas į Winnti arsenalą. Unikali atakų vektoriaus, naudojamo kampanijose, kuriose naudojama DEPLOYLOG, savybė yra įsilaužėlių dėmesys piktnaudžiavimui teisėta „Windows“ funkcija ir joje saugoti savo užšifruotą kenkėjišką apkrovą.

Atakos naudojant DEPLOYLOG yra kelių etapų ir apima sudėtingus procesus, kelių etapų paketinius failus, kenkėjiškų DLL failų įkėlimą iš šono per teisėtas Windows paslaugas ir Windows registro manipuliavimą, siekiant pažeisti nukentėjusios sistemos sistemą. DEPLOYLOG yra tik vienas iš kelių įrankių, kuriuos Winnti naudoja bandydama įdiegti WINNKIT rootkit tikslinėje sistemoje.