Fire Chili Rootkit
Az aljas kínai APT (Advanced Persistent Threat) csoport, a Deep Panda rajtakaptak egy új, fenyegető kiegészítőt az arzenáljába. A Fire Chili névre keresztelt kártevő a rootkit kategóriába tartozik, és célja a Windows rendszerek megfertőzése. A kiberbiztonsági elemzők által közzétett jelentés szerint ez a rootkit a Log4Shell exploiton keresztül jut el a VMware Horizon szerverekhez, és képes a Windows-verziókra hatással lenni a 2017 áprilisában megjelent Windows 10 Creators Update-ig.
A rootkitek rendkívül fenyegető típusú rosszindulatú programok, mivel mélyen behatolhatnak a feltört rendszerekbe, és a legalacsonyabb szinten hajthatnak végre tolakodó műveleteket, így megkerülve számos biztonsági ellenőrzést és kártevőirtó intézkedést. Annak elkerülése érdekében, hogy a víruskereső eszközök észleljék a kezdeti fertőzés során, a Fire Chili a Frotburn Studios (játékfejlesztő cég) vagy a Comodo (biztonsági szoftverfejlesztő) érvényes digitális tanúsítványaival rendelkezik. A kutatók úgy vélik, hogy a tanúsítványokat illetéktelenül eltulajdonították a tulajdonosuktól.
Amikor elindítják, a Fire Chili alapvető rendszertesztek sorozatát hajtja végre, hogy megkísérelje észlelni a virtualizáció vagy a sandbox környezet jeleit. A fenyegetés azt is biztosítja, hogy a megcélzott kernelstruktúrák és objektumok jelen legyenek a rendszerben. A rosszindulatú program fő célja, hogy a hackerek egyéb tolakodó akcióit rejtve tartsa. A Fire Chili képes elfedni a fájlműveleteket, folyamatokat, a Registry rendszer kiegészítéseit és az illegitim hálózati kapcsolatokat, nehogy a felhasználók vagy a biztonsági szoftvereszközök észrevegyék őket. Ezt IOCTL-ek (bemeneti/kimeneti vezérlőrendszer-hívások) segítségével archiválja, amelyek a fenyegetés szereplői által dinamikusan konfigurálható sérült műtermékeket hordozzák.