Fire Chili Rootkit

Den ondskapsfulle kinesiske APT-gruppen (Advanced Persistent Threat) Deep Panda har blitt tatt for å bruke et nytt, truende tillegg til arsenalet deres. Ved navn Fire Chili faller skadelig programvare i rootkit-kategorien og er rettet mot å infisere Windows-systemer. I følge rapporten utgitt av cybersikkerhetsanalytikere, leveres dette rootsettet til VMware Horizon-servere via Log4Shell-utnyttelsen og er i stand til å påvirke Windows-versjoner opp til Windows 10 Creators Update, som ble utgitt i april 2017.

Rootkits er ekstremt truende typer skadelig programvare, siden de kan grave seg dypt inn i de kompromitterte systemene og utføre påtrengende handlinger på det laveste nivået, og dermed omgå en rekke sikkerhetssjekker og tiltak mot skadelig programvare. For å unngå å bli oppdaget av antivirusverktøy under den første infeksjonen, er Fire Chili utstyrt med gyldige digitale sertifikater som tilhører Frotburn Studios (et spillutviklerselskap) eller Comodo (en sikkerhetsprogramvareutvikler). Forskerne mener at sertifikatene ble misbrukt fra deres tiltenkte eiere.

Når det startes, utfører Fire Chili en serie grunnleggende systemtester i et forsøk på å oppdage tegn på virtualisering eller sandkassemiljøer. Trusselen sørger også for at de målrettede kjernestrukturene og -objektene er tilstede i systemet. Hovedmålet med skadelig programvare er å holde de andre påtrengende handlingene til hackerne skjult. Fire Chili kan maskere filoperasjoner, prosesser, tillegg til registersystemet og illegitime nettverkstilkoblinger fra å bli lagt merke til av brukere eller sikkerhetsprogramvareverktøy. Den arkiverer dette ved å bruke IOCTL-er (input/output control system calls) som bærer de ødelagte artefaktene som kan konfigureres dynamisk av trusselaktørene.