DEPLOYLOG Skadlig programvara

DEPLOYLOG är namnet på ett skadligt verktyg associerat med Winnti avancerade ihållande hot-aktör.

Winnti-gruppen är också känd under namnet APT41 och tros vara en kinesisk statssponsrad hotaktör som sysslar med cyberspionage.

DEPLOYLOG är ett nytt verktyg i Winnti-gruppens verktygslåda för skadlig programvara. Verktyget användes i attacker som spårades av säkerhetsforskare som arbetar med Cyberreason.

Skadlig programvara kan missbruka funktionen CLFS eller "vanligt loggfilsystem" i Windows operativsystem. Exploateringen ses sällan och extraherar data lagrad i CLFS, och distribuerar sedan en skadlig WINNKIT rootkit-drivrutin som också är ett anpassat verktyg som används av Winnti-gruppen och fungerar som en kärna.

DEPLOYLOG används tillsammans med ett antal andra anpassade skadliga verktyg i Winntis arsenal, inklusive Spyder - ett bakdörrsverktyg, STASHLOG - ett verktyg som används för att lagra skadliga nyttolaster i Windows CLFS, SPARKLOG och PRIVATELOG - två verktyg som arbetar tillsammans och slutligen WINNKIT - den skadliga kärnan.

DEPLOYLOG är ett nytt verktyg som lagts till Winntis arsenal. En unik egenskap hos attackvektorn som används i kampanjer som använder DEPLOYLOG är hackarnas fokus på att missbruka en legitim Windows-funktion och lagra sin krypterade skadliga nyttolast i den.

Attackerna som använder DEPLOYLOG är flera steg och involverar komplexa processer, flerstegs batchfiler, sidladdning av skadliga DLL-filer genom legitima Windows-tjänster och manipulering av Windows-registret för att äventyra offrets system. DEPLOYLOG är bara ett av flera verktyg som Winnti använder i sina försök att plantera WINNKIT rootkit i det riktade systemet.