DEPLOYLOG Malware
DEPLOYLOG é o nome de uma ferramenta maliciosa associada ao agente de ameaça persistente avançada Winnti.
O grupo Winnti também é conhecido pelo nome APT41 e acredita-se que seja um agente de ameaças patrocinado pelo Estado chinês, que lida com espionagem cibernética.
DEPLOYLOG é uma nova ferramenta no kit de ferramentas de software malicioso do grupo Winnti. A ferramenta foi usada em ataques rastreados por pesquisadores de segurança que trabalham com a Cyberreason.
O malware é capaz de abusar do recurso CLFS ou "sistema de arquivos de log comum" do sistema operacional Windows. A exploração raramente é vista e extrai dados armazenados no CLFS e, em seguida, implanta um driver de rootkit WINNKIT malicioso que também é uma ferramenta personalizada usada pelo grupo Winnti e atua como um kernel.
O DEPLOYLOG é usado em conjunto com várias outras ferramentas maliciosas personalizadas no arsenal do Winnti, incluindo Spyder - uma ferramenta de backdoor, STASHLOG - uma ferramenta usada para armazenar cargas maliciosas dentro do Windows CLFS, SPARKLOG e PRIVATELOG - duas ferramentas trabalhando em conjunto e, finalmente, WINNKIT - o kernel malicioso.
DEPLOYLOG é uma nova ferramenta adicionada ao arsenal do Winnti. Um recurso exclusivo do vetor de ataque usado em campanhas usando DEPLOYLOG é o foco dos hackers em abusar de um recurso legítimo do Windows e armazenar nele sua carga maliciosa criptografada.
Os ataques que usam o DEPLOYLOG são de várias etapas e envolvem processos complexos, arquivos em lote de vários estágios, carregamento lateral de arquivos DLL maliciosos por meio de serviços legítimos do Windows e manipulação do registro do Windows para comprometer o sistema da vítima. DEPLOYLOG é apenas uma das várias ferramentas que o Winnti usa em suas tentativas de plantar o rootkit WINNKIT no sistema de destino.