DEPLOYLOG Malware
DEPLOYLOG is de naam van een kwaadaardig hulpmiddel dat is gekoppeld aan de Winnti advanced persistent threat actor.
De Winnti-groep is ook bekend onder de naam APT41 en wordt beschouwd als een door de Chinese staat gesponsorde dreigingsactor, die zich bezighoudt met cyberspionage.
DEPLOYLOG is een nieuwe tool in de toolkit van kwaadaardige software van de Winnti-groep. De tool werd gebruikt bij aanvallen die werden gevolgd door beveiligingsonderzoekers die met Cyberreason werkten.
De malware kan misbruik maken van de CLFS- of "common log file system"-functie van het Windows-besturingssysteem. De exploit wordt zelden gezien en extraheert gegevens die zijn opgeslagen in de CLFS, en implementeert vervolgens een kwaadaardig WINNKIT-rootkitstuurprogramma dat ook een aangepast hulpmiddel is dat wordt gebruikt door de Winnti-groep en dat als een kernel fungeert.
DEPLOYLOG wordt gebruikt in combinatie met een aantal andere aangepaste kwaadaardige tools in het arsenaal van Winnti, waaronder Spyder - een backdoor-tool, STASHLOG - een tool die wordt gebruikt om kwaadaardige payloads op te slaan in Windows CLFS, SPARKLOG en PRIVATELOG - twee tools die samenwerken en tot slot WINNKIT - de kwaadaardige kernel.
DEPLOYLOG is een nieuwe tool die is toegevoegd aan Winnti's arsenaal. Een uniek kenmerk van de aanvalsvector die wordt gebruikt in campagnes die DEPLOYLOG gebruiken, is dat de hackers zich richten op het misbruiken van een legitieme Windows-functie en het daarin opslaan van hun versleutelde kwaadaardige lading.
De aanvallen die DEPLOYLOG gebruiken, bestaan uit meerdere stappen en omvatten complexe processen, batchbestanden in meerdere fasen, het side-loaden van kwaadaardige DLL-bestanden via legitieme Windows-services en manipulatie van het Windows-register om het slachtoffersysteem in gevaar te brengen. DEPLOYLOG is slechts een van de verschillende tools die Winnti gebruikt bij hun pogingen om de WINNKIT-rootkit in het beoogde systeem te plaatsen.