DEPLOYLOG Вредоносное ПО

DEPLOYLOG — это название вредоносного инструмента, связанного с субъектом продвинутой постоянной угрозы Winnti.

Группа Winnti также известна под названием APT41 и считается спонсируемой китайским государством организацией, занимающейся кибершпионажем.

DEPLOYLOG — это новый инструмент в наборе вредоносных программ группы Winnti. Инструмент использовался в атаках, отслеживаемых исследователями безопасности, работающими с Cyberreason.

Вредоносное ПО может злоупотреблять функцией CLFS или «системой файлов общего журнала» операционной системы Windows. Эксплойт встречается редко и извлекает данные, хранящиеся в CLFS, а затем развертывает вредоносный драйвер руткита WINNKIT, который также является специальным инструментом, используемым группой Winnti и действующим как ядро.

DEPLOYLOG используется в сочетании с рядом других пользовательских вредоносных инструментов в арсенале Winnti, включая Spyder — бэкдор, STASHLOG — инструмент, используемый для хранения вредоносных полезных нагрузок внутри Windows CLFS, SPARKLOG и PRIVATELOG — два инструмента, работающих вместе, и, наконец, WINNKIT. - вредоносное ядро.

DEPLOYLOG — это новый инструмент, добавленный в арсенал Winnti. Уникальной особенностью вектора атаки, используемого в кампаниях с использованием DEPLOYLOG, является стремление хакеров злоупотребить законной функцией Windows и сохранить в ней свою зашифрованную вредоносную полезную нагрузку.

Атаки с использованием DEPLOYLOG являются многоэтапными и включают в себя сложные процессы, многоэтапные пакетные файлы, загрузку вредоносных DLL-файлов через законные службы Windows и манипулирование реестром Windows для компрометации системы-жертвы. DEPLOYLOG — это лишь один из нескольких инструментов, которые Winnti использует в своих попытках внедрить руткит WINNKIT в целевую систему.