DEPLOYLOG

Eine jahrelange Cyberspionage-Angriffskampagne der von China unterstützten APT-Gruppe (Advanced Persistent Threat) Winnti (auch bekannt als APT41, BARIUM und Blackfly) wurde ans Licht gebracht. In einem Bericht von Forschern wurde die gesamte Infektionskette der Hacker an die Öffentlichkeit gebracht. Es wird angenommen, dass Winnti während der Drohoperation in der Lage war, riesige Mengen an vertraulichen Informationen zu erhalten, darunter Blaupausen, proprietäre Daten, Diagramme und vieles mehr. Die Opfer sind Unternehmen aus Nordamerika, Europa und Asien, die in der Technologie- und Fertigungsindustrie tätig sind.

Dem Bericht zufolge wird im letzten Schritt der mehrstufigen Infektionskette ein benutzerdefiniertes Rootkit namens WINNKIT eingesetzt. Die Aufgabe des Bereitstellens, Einrichtens und Aktivierens des Rootkits wird jedoch an eine separate Malware-Bedrohung namens DEPLOYLOG delegiert. Es wird auf den betroffenen Systemen als 64-Bit-DLL-Datei „dbghelp.dll“, ein generischer und häufig verwendeter Name, unter C:\Windows\System32\WindowsPowerShell\v1.0 abgelegt, um zu versuchen, als legitime Datei durchzugehen.

Die erste große Aufgabe von DEPLOYLOG ist das Deployment des WINNKIT-Rootkits. Dazu extrahiert es die endgültige Nutzlast aus einer CLFS-Protokolldatei und entschlüsselt den erfassten Inhalt. Als nächstes stoppt DEPLOYLOG den AMD K8-Prozessor-Kernel-Treiberdienst amdk8. Diese Tatsache könnte darauf hindeuten, dass WINNTI sich darauf konzentriert, AMD-bezogene Maschinen zu kompromittieren und auch Vorkenntnisse über die interne Infrastruktur der Maschinen ihrer Opfer hat.

Die zweite Aufgabe von DEPLOYLOG besteht darin, als Agent im Benutzermodus auf dem System zu fungieren. Es wird versuchen, als Brücke zwischen dem jetzt bereitgestellten Rootkit und den Command-and-Control-Servern (C2, C&C) der Operation zu fungieren. Die Malware kommuniziert mit den C2-Servern und erhält Daten, die dann vom bedrohlichen Treiber von WINNKIT abgefangen werden. Über den Agenten können die Winnti-Angreifer neue Module auf das infizierte System laden, eine CMD-Shell öffnen, Nutzdaten zum Sammeln von Anmeldeinformationen löschen und vieles mehr.