Fire Chili Rootkit

De snode Chinese APT-groep (Advanced Persistent Threat) Deep Panda is betrapt op het gebruik van een nieuwe, bedreigende toevoeging aan hun arsenaal. De malware, genaamd Fire Chili, valt in de rootkit-categorie en is gericht op het infecteren van Windows-systemen. Volgens het rapport van cybersecurity-analisten wordt deze rootkit geleverd aan VMware Horizon-servers via de Log4Shell-exploit en kan deze invloed hebben op Windows-versies tot Windows 10 Creators Update, die in april 2017 werd uitgebracht.

Rootkits zijn uiterst bedreigende soorten malware, omdat ze zich diep in de aangetaste systemen kunnen nestelen en op het laagste niveau intrusieve acties kunnen uitvoeren, waardoor talloze beveiligingscontroles en antimalwaremaatregelen worden omzeild. Om te voorkomen dat het wordt gedetecteerd door antivirusprogramma's tijdens de eerste infectie, is Fire Chili uitgerust met geldige digitale certificaten van Frotburn Studios (een game-ontwikkelaar) of Comodo (een ontwikkelaar van beveiligingssoftware). De onderzoekers zijn van mening dat de certificaten zijn verduisterd door de beoogde eigenaren.

Wanneer het wordt gestart, voert Fire Chili een reeks basissysteemtests uit in een poging om tekenen van virtualisatie of sandbox-omgevingen te detecteren. De dreiging zorgt er ook voor dat de beoogde kernelstructuren en objecten in het systeem aanwezig zijn. Het belangrijkste doel van de malware is om de andere opdringerige acties van de hackers verborgen te houden. Fire Chili kan bestandsbewerkingen, processen, toevoegingen aan het registersysteem en onwettige netwerkverbindingen maskeren zodat ze niet worden opgemerkt door gebruikers of beveiligingssoftwaretools. Het archiveert dit door gebruik te maken van IOCTL's (invoer/uitvoercontrolesysteemaanroepen) die de beschadigde artefacten bevatten die dynamisch kunnen worden geconfigureerd door de bedreigingsactoren.