Fire Chili Rootkit

Nikczemna chińska grupa APT (Advanced Persistent Threat) Deep Panda została przyłapana na użyciu nowego, groźnego dodatku do swojego arsenału. Szkodnik o nazwie Fire Chili należy do kategorii rootkitów i ma na celu infekowanie systemów Windows. Według raportu opublikowanego przez analityków cyberbezpieczeństwa, ten rootkit jest dostarczany na serwery VMware Horizon za pośrednictwem exploita Log4Shell i może wpływać na wersje systemu Windows aż do aktualizacji Windows 10 Creators Update, która została opublikowana w kwietniu 2017 roku.

Rootkity to niezwykle groźne typy złośliwego oprogramowania, ponieważ mogą zagłębiać się głęboko w zaatakowane systemy i wykonywać natrętne działania na najniższym poziomie, omijając w ten sposób liczne kontrole bezpieczeństwa i środki ochrony przed złośliwym oprogramowaniem. Aby uniknąć wykrycia przez narzędzia antywirusowe podczas początkowej infekcji, Fire Chili jest wyposażony w ważne certyfikaty cyfrowe należące do Frotburn Studios (firmy tworzącej gry) lub Comodo (twórcy oprogramowania zabezpieczającego). Naukowcy uważają, że certyfikaty zostały przywłaszczone od ich zamierzonych właścicieli.

Po uruchomieniu Fire Chili przeprowadza serię podstawowych testów systemu, próbując wykryć oznaki środowisk wirtualizacji lub piaskownicy. Zagrożenie zapewnia również, że docelowe struktury jądra i obiekty są obecne w systemie. Głównym celem tego szkodliwego oprogramowania jest ukrywanie innych natrętnych działań hakerów. Fire Chili może maskować operacje na plikach, procesy, dodatki do systemu rejestru i nielegalne połączenia sieciowe przed zauważeniem przez użytkowników lub narzędzia oprogramowania zabezpieczającego. Archiwizuje to za pomocą IOCTL (wywołań systemowych kontroli wejścia/wyjścia) przenoszących uszkodzone artefakty, które mogą być dynamicznie konfigurowane przez cyberprzestępców.