Fire Chili Rootkit

Den skändliga kinesiska APT-gruppen (Advanced Persistent Threat) Deep Panda har fångats med ett nytt, hotfullt tillskott till deras arsenal. Skadlig programvara, som heter Fire Chili, faller inom rootkit-kategorin och syftar till att infektera Windows-system. Enligt rapporten som släppts av cybersäkerhetsanalytiker levereras detta rootkit till VMware Horizon-servrar via Log4Shell-exploatet och kan påverka Windows-versioner upp till Windows 10 Creators Update, som släpptes i april 2017.

Rootkits är extremt hotfulla typer av skadlig programvara, eftersom de kan gräva sig djupt in i de komprometterade systemen och utföra påträngande åtgärder på lägsta nivå, och därmed kringgå många säkerhetskontroller och åtgärder mot skadlig programvara. För att undvika att bli upptäckt av antivirusverktyg under den första infektionen är Fire Chili utrustad med giltiga digitala certifikat som tillhör Frotburn Studios (ett spelutvecklarföretag) eller Comodo (en säkerhetsprogramutvecklare). Forskarna anser att certifikaten förskingrats från deras tilltänkta ägare.

När det initieras, utför Fire Chili en serie grundläggande systemtester i ett försök att upptäcka tecken på virtualisering eller sandlådemiljöer. Hotet ser också till att de riktade kärnstrukturerna och objekten finns i systemet. Huvudmålet med skadlig programvara är att hålla hackarnas andra påträngande handlingar dolda. Fire Chili kan maskera filoperationer, processer, tillägg till registersystemet och olagliga nätverksanslutningar från att uppmärksammas av användare eller säkerhetsverktyg. Den arkiverar detta genom att använda IOCTL:er (input/output control system calls) som bär de skadade artefakterna som kan konfigureras dynamiskt av hotaktörerna.