DEPLOYLOG Skadelig programvare

DEPLOYLOG er navnet på et ondsinnet verktøy knyttet til Winnti avanserte vedvarende trusselaktør.

Winnti-gruppen er også kjent under navnet APT41 og antas å være en kinesisk statsstøttet trusselaktør som driver med cyberspionasje.

DEPLOYLOG er et nytt verktøy i Winnti-gruppens verktøysett for skadelig programvare. Verktøyet ble brukt i angrep sporet av sikkerhetsforskere som jobbet med Cyberreason.

Skadevaren er i stand til å misbruke funksjonen CLFS eller "vanlig loggfilsystem" i Windows-operativsystemet. Utnyttelsen er sjelden sett og trekker ut data som er lagret i CLFS, og distribuerer deretter en ondsinnet WINNKIT rootkit-driver som også er et tilpasset verktøy som brukes av Winnti-gruppen og fungerer som en kjerne.

DEPLOYLOG brukes sammen med en rekke andre tilpassede ondsinnede verktøy i Winntis arsenal, inkludert Spyder - et bakdørsverktøy, STASHLOG - et verktøy som brukes til å lagre ondsinnede nyttelaster inne i Windows CLFS, SPARKLOG og PRIVATELOG - to verktøy som fungerer sammen og til slutt WINNKIT - den ondsinnede kjernen.

DEPLOYLOG er et nytt verktøy lagt til Winntis arsenal. En unik egenskap ved angrepsvektoren som brukes i kampanjer som bruker DEPLOYLOG er hackernes fokus på å misbruke en legitim Windows-funksjon og lagre deres krypterte skadelige nyttelast i den.

Angrepene som bruker DEPLOYLOG er flertrinns og involverer komplekse prosesser, flertrinns batchfiler, sidelasting av ondsinnede DLL-filer gjennom legitime Windows-tjenester og manipulering av Windows-registeret for å kompromittere offersystemet. DEPLOYLOG er bare ett av flere verktøy Winnti bruker i sine forsøk på å plante WINNKIT rootkit i det målrettede systemet.