Fire Chili Rootkit

Den uhyggelige kinesiske APT-gruppe (Advanced Persistent Threat) Deep Panda er blevet fanget i at bruge en ny, truende tilføjelse til deres arsenal. Ved navn Fire Chili falder malwaren ind under rootkit-kategorien og er rettet mod at inficere Windows-systemer. Ifølge rapporten udgivet af cybersikkerhedsanalytikere, leveres dette rootkit til VMware Horizon-servere via Log4Shell-udnyttelsen og er i stand til at påvirke Windows-versioner op til Windows 10 Creators Update, som blev udgivet i april 2017.

Rootkits er ekstremt truende typer af malware, da de kan grave sig dybt ind i de kompromitterede systemer og udføre påtrængende handlinger på det laveste niveau og dermed omgå adskillige sikkerhedstjek og anti-malware-foranstaltninger. For at undgå at blive opdaget af antivirusværktøjer under den første infektion, er Fire Chili udstyret med gyldige digitale certifikater, der tilhører Frotburn Studios (et spiludviklerfirma) eller Comodo (en sikkerhedssoftwareudvikler). Forskerne mener, at certifikaterne blev uretmæssigt tilegnet sig fra deres påtænkte ejere.

Når den er startet, udfører Fire Chili en række grundlæggende systemtests i et forsøg på at opdage tegn på virtualisering eller sandkassemiljøer. Truslen sørger også for, at de målrettede kernestrukturer og -objekter er til stede i systemet. Hovedmålet med malwaren er at holde hackernes andre påtrængende handlinger skjult. Fire Chili kan maskere filoperationer, processer, tilføjelser til registreringsdatabasen og illegitime netværksforbindelser fra at blive bemærket af brugere eller sikkerhedssoftwareværktøjer. Det arkiverer dette ved at bruge IOCTL'er (input/output kontrolsystemopkald), der bærer de korrupte artefakter, der dynamisk kan konfigureres af trusselsaktørerne.