Fire Chili Rootkit

Злата китайска APT (Advanced Persistent Threat) група Deep Panda беше хваната да използва ново, заплашително допълнение към арсенала си. Наречен Fire Chili, зловредният софтуер попада в категорията руткит и е насочен към заразяване на Windows системи. Според доклада, публикуван от анализатори по киберсигурност, този руткит се доставя до сървърите на VMware Horizon чрез експлойта Log4Shell и е в състояние да засегне версии на Windows до Windows 10 Creators Update, който беше пуснат през април 2017 г.

Руткитите са изключително заплашителен вид зловреден софтуер, тъй като те могат да се заровят дълбоко в компрометираните системи и да извършват натрапчиви действия на най-ниското ниво, като по този начин заобикалят множество проверки за сигурност и мерки за защита от зловреден софтуер. За да не бъде открит от антивирусни инструменти по време на първоначалната инфекция, Fire Chili е оборудван с валидни цифрови сертификати, принадлежащи на Frotburn Studios (компания за разработчици на игри) или Comodo (разработчик на софтуер за сигурност). Изследователите смятат, че сертификатите са били незаконно присвоени от техните притежатели.

Когато се стартира, Fire Chili извършва серия от основни системни тестове в опит да открие признаци на виртуализация или среда в пясъчник. Заплахата също така гарантира, че целевите структури и обекти на ядрото присъстват в системата. Основната цел на зловредния софтуер е да запази скрити другите натрапчиви действия на хакерите. Fire Chili може да маскира операции с файлове, процеси, допълнения към системата на системния регистър и нелегитимни мрежови връзки от забелязване от потребители или софтуерни инструменти за сигурност. Той архивира това, като използва IOCTL (системни извиквания за вход/изход), носещи повредените артефакти, които могат да бъдат динамично конфигурирани от участниците в заплахата.