Licencias para múltiples dispositivos (descuentos por volumen)
Threat Database Malware DEPLOYLOG

DEPLOYLOG

Por Mezo en Malware, Advanced Persistent Threat (APT)
Traducir a:
Español

Ha salido a la luz una campaña de ataques de ciberespionaje de un año de duración llevada a cabo por el grupo APT (Advanced Persistent Threat) Winnti (también conocido como APT41, BARIUM y Blackfly) respaldado por China. En un informe de los investigadores, se ha revelado al público toda la cadena de infección de los piratas informáticos. Durante la operación amenazante, se cree que Winnti pudo obtener grandes cantidades de información confidencial, incluidos planos, datos de propiedad, diagramas y mucho más. Las víctimas son empresas de América del Norte, Europa y Asia, que operan en las industrias de tecnología y fabricación.

Según el informe, el paso final de la cadena de infección de múltiples etapas implementa un rootkit personalizado denominado WINNKIT . Sin embargo, la tarea de implementar, establecer y activar el rootkit se delega a una amenaza de malware independiente denominada DEPLOYLOG. Se coloca en los sistemas violados como un archivo DLL de 64 bits 'dbghelp.dll', un nombre genérico y de uso común, en C:\Windows\System32\WindowsPowerShell\v1.0 en un intento de pasar como un archivo legítimo.

La primera tarea importante de DEPLOYLOG es implementar el rootkit WINNKIT. Lo hace extrayendo la carga útil final de un archivo de registro CLFS y descifrando el contenido adquirido. A continuación, DEPLOYLOG detendrá el servicio del controlador del kernel del procesador AMD K8 amdk8. Este hecho podría indicar que WINNTI se centra en comprometer las máquinas relacionadas con AMD y también tiene conocimiento previo sobre la infraestructura interna de las máquinas de sus víctimas.

La segunda tarea de DEPLOYLOG es actuar como un agente de modo de usuario en el sistema. Intentará actuar como un puente entre el rootkit ahora implementado y los servidores de comando y control (C2, C&C) de la operación. El malware se comunicará con los servidores C2 y obtendrá datos que luego serán interceptados por el controlador amenazante de WINNKIT. A través del agente, los atacantes de Winnti pueden cargar nuevos módulos en el sistema infectado, abrir un shell CMD, soltar la carga útil de recolección de credenciales y más.

Tendencias

Mas Visto

Cargando...