LOG WDRAŻANIA Złośliwe oprogramowanie
DEPLOYLOG to nazwa złośliwego narzędzia powiązanego z zaawansowanym trwałym zagrożeniem Winnti.
Grupa Winnti znana jest również pod nazwą APT41 i jest uważana za sponsorowanego przez państwo chińskiego cyberprzestępcy, zajmującego się cyberszpiegostwem.
DEPLOYLOG to nowe narzędzie w zestawie złośliwego oprogramowania grupy Winnti. Narzędzie było wykorzystywane w atakach śledzonych przez badaczy bezpieczeństwa współpracujących z Cyberreason.
Złośliwe oprogramowanie może nadużywać funkcji CLFS lub „wspólnego systemu plików dziennika” systemu operacyjnego Windows. Exploit jest rzadko spotykany i wyodrębnia dane przechowywane w CLFS, a następnie wdraża złośliwy sterownik rootkita WINNKIT, który jest również niestandardowym narzędziem używanym przez grupę Winnti i działa jako jądro.
DEPLOYLOG jest używany w połączeniu z szeregiem innych niestandardowych złośliwych narzędzi z arsenału Winnti, w tym Spyder – narzędzie backdoora, STASHLOG – narzędzie używane do przechowywania szkodliwych ładunków wewnątrz Windows CLFS, SPARKLOG i PRIVATELOG – dwa narzędzia działające w połączeniu i wreszcie WINNKIT - złośliwe jądro.
DEPLOYLOG to nowe narzędzie dodane do arsenału Winnti. Unikalną cechą wektora ataku wykorzystywanego w kampaniach wykorzystujących DEPLOYLOG jest koncentracja hakerów na nadużywaniu legalnej funkcji systemu Windows i przechowywaniu w niej zaszyfrowanego szkodliwego ładunku.
Ataki przy użyciu DEPLOYLOG są wieloetapowe i obejmują złożone procesy, wieloetapowe pliki wsadowe, boczne ładowanie złośliwych plików DLL za pośrednictwem legalnych usług Windows oraz manipulację rejestrem Windows w celu złamania systemu ofiary. DEPLOYLOG to tylko jedno z kilku narzędzi używanych przez Winnti w swoich próbach umieszczenia rootkita WINNKIT w docelowym systemie.