LOG WDRAŻANIA Złośliwe oprogramowanie

DEPLOYLOG to nazwa złośliwego narzędzia powiązanego z zaawansowanym trwałym zagrożeniem Winnti.

Grupa Winnti znana jest również pod nazwą APT41 i jest uważana za sponsorowanego przez państwo chińskiego cyberprzestępcy, zajmującego się cyberszpiegostwem.

DEPLOYLOG to nowe narzędzie w zestawie złośliwego oprogramowania grupy Winnti. Narzędzie było wykorzystywane w atakach śledzonych przez badaczy bezpieczeństwa współpracujących z Cyberreason.

Złośliwe oprogramowanie może nadużywać funkcji CLFS lub „wspólnego systemu plików dziennika” systemu operacyjnego Windows. Exploit jest rzadko spotykany i wyodrębnia dane przechowywane w CLFS, a następnie wdraża złośliwy sterownik rootkita WINNKIT, który jest również niestandardowym narzędziem używanym przez grupę Winnti i działa jako jądro.

DEPLOYLOG jest używany w połączeniu z szeregiem innych niestandardowych złośliwych narzędzi z arsenału Winnti, w tym Spyder – narzędzie backdoora, STASHLOG – narzędzie używane do przechowywania szkodliwych ładunków wewnątrz Windows CLFS, SPARKLOG i PRIVATELOG – dwa narzędzia działające w połączeniu i wreszcie WINNKIT - złośliwe jądro.

DEPLOYLOG to nowe narzędzie dodane do arsenału Winnti. Unikalną cechą wektora ataku wykorzystywanego w kampaniach wykorzystujących DEPLOYLOG jest koncentracja hakerów na nadużywaniu legalnej funkcji systemu Windows i przechowywaniu w niej zaszyfrowanego szkodliwego ładunku.

Ataki przy użyciu DEPLOYLOG są wieloetapowe i obejmują złożone procesy, wieloetapowe pliki wsadowe, boczne ładowanie złośliwych plików DLL za pośrednictwem legalnych usług Windows oraz manipulację rejestrem Windows w celu złamania systemu ofiary. DEPLOYLOG to tylko jedno z kilku narzędzi używanych przez Winnti w swoich próbach umieszczenia rootkita WINNKIT w docelowym systemie.