DEPLOYLOG

Une campagne d'attaques de cyberespionnage menée depuis des années par le groupe APT (Advanced Persistent Threat) soutenu par la Chine Winnti (également connu sous le nom d'APT41, BARIUM et Blackfly) a été mise au jour. Dans un rapport de chercheurs, toute la chaîne d'infection des pirates a été révélée au public. Au cours de l'opération menaçante, Winnti aurait pu obtenir de grandes quantités d'informations confidentielles, notamment des plans, des données exclusives, des diagrammes et bien plus encore. Les victimes sont des entreprises d'Amérique du Nord, d'Europe et d'Asie, opérant dans les secteurs de la technologie et de la fabrication.

Selon le rapport, la dernière étape de la chaîne d'infection en plusieurs étapes déploie un rootkit personnalisé appelé WINNKIT . Cependant, la tâche de déploiement, d'établissement et d'activation du rootkit est déléguée à une menace malveillante distincte nommée DEPLOYLOG. Il est déposé sur les systèmes piratés sous la forme d'un fichier DLL 64 bits « dbghelp.dll », un nom générique et couramment utilisé, sur C:\Windows\System32\WindowsPowerShell\v1.0 pour tenter de passer pour un fichier légitime.

La première tâche majeure de DEPLOYLOG est de déployer le rootkit WINNKIT. Pour ce faire, il extrait la charge utile finale d'un fichier journal CLFS et décrypte le contenu acquis. Ensuite, DEPLOYLOG arrêtera le service amdk8 du pilote du noyau du processeur AMD K8. Ce fait pourrait indiquer que WINNTI se concentre sur la compromission des machines liées à AMD et a également une connaissance préalable de l'infrastructure interne des machines de leurs victimes.

La deuxième tâche de DEPLOYLOG est d'agir en tant qu'agent en mode utilisateur sur le système. Il tentera d'agir comme un pont entre le rootkit maintenant déployé et les serveurs de commande et de contrôle (C2, C&C) de l'opération. Le logiciel malveillant communiquera avec les serveurs C2 et obtiendra des données qui seront ensuite interceptées par le pilote menaçant de WINNKIT. Grâce à l'agent, les attaquants Winnti peuvent charger de nouveaux modules sur le système infecté, ouvrir un shell CMD, supprimer la charge utile de collecte d'informations d'identification, etc.