Руткит Fire Chili

Гнусная китайская группа APT (Advanced Persistent Threat) Deep Panda была уличена в использовании нового угрожающего дополнения к своему арсеналу. Вредоносное ПО под названием Fire Chili относится к категории руткитов и предназначено для заражения систем Windows. Согласно отчету, опубликованному аналитиками кибербезопасности, этот руткит доставляется на серверы VMware Horizon с помощью эксплойта Log4Shell и способен влиять на версии Windows вплоть до Windows 10 Creators Update, выпущенного в апреле 2017 года.

Руткиты представляют собой чрезвычайно опасные виды вредоносного ПО, поскольку они могут проникать глубоко в скомпрометированные системы и выполнять интрузивные действия на самом низком уровне, обходя, таким образом, многочисленные проверки безопасности и меры защиты от вредоносных программ. Чтобы избежать обнаружения антивирусными инструментами во время первоначального заражения, Fire Chili оснащен действительными цифровыми сертификатами, принадлежащими Frotburn Studios (компания-разработчик игр) или Comodo (разработчик программного обеспечения для обеспечения безопасности). Исследователи считают, что сертификаты были незаконно присвоены у их предполагаемых владельцев.

При запуске Fire Chili выполняет серию основных системных тестов, пытаясь обнаружить признаки виртуализации или песочницы. Угроза также гарантирует, что в системе присутствуют целевые структуры и объекты ядра. Основная цель вредоносного ПО — скрыть другие навязчивые действия хакеров. Fire Chili может маскировать операции с файлами, процессы, дополнения к системе реестра и незаконные сетевые подключения, чтобы их не заметили пользователи или программные инструменты безопасности. Он архивирует это с помощью IOCTL (системных вызовов управления вводом/выводом), несущих поврежденные артефакты, которые могут быть динамически настроены злоумышленниками.