Fire Chili Rootkit

Hain Çinli APT (Gelişmiş Kalıcı Tehdit) grubu Deep Panda, cephanelerine yeni, tehdit edici bir eklenti kullanırken yakalandı. Fire Chili adlı kötü amaçlı yazılım, rootkit kategorisine giriyor ve Windows sistemlerine bulaşmayı hedefliyor. Siber güvenlik analistleri tarafından yayınlanan rapora göre bu rootkit, Log4Shell exploit aracılığıyla VMware Horizon sunucularına teslim ediliyor ve Nisan 2017'de yayınlanan Windows 10 Creators Update'e kadar Windows sürümlerini etkileyebiliyor.

Rootkit'ler, güvenliği ihlal edilmiş sistemlerin derinliklerine girebildikleri ve en düşük düzeyde müdahaleci eylemler gerçekleştirebildikleri ve böylece çok sayıda güvenlik kontrolünü ve kötü amaçlı yazılımdan koruma önlemlerini atlayabildikleri için son derece tehdit edici kötü amaçlı yazılım türleridir. Fire Chili, ilk enfeksiyon sırasında virüsten koruma araçları tarafından algılanmamak için Frotburn Studios'a (bir oyun geliştirici şirket) veya Comodo'ya (bir güvenlik yazılımı geliştiricisi) ait geçerli dijital sertifikalarla donatılmıştır. Araştırmacılar, sertifikaların amaçlanan sahiplerinden kötüye kullanıldığına inanıyor.

Fire Chili başlatıldığında, sanallaştırma veya korumalı alan ortamlarının belirtilerini algılamak amacıyla bir dizi temel sistem testi gerçekleştirir. Tehdit, hedeflenen çekirdek yapılarının ve nesnelerinin sistemde mevcut olmasını da sağlar. Kötü amaçlı yazılımın temel amacı, bilgisayar korsanlarının diğer müdahaleci eylemlerini gizli tutmaktır. Fire Chili, dosya işlemlerini, işlemlerini, Kayıt sistemine yapılan eklemeleri ve yasal olmayan ağ bağlantılarının kullanıcılar veya güvenlik yazılımı araçları tarafından fark edilmesini engelleyebilir. Bunu, tehdit aktörleri tarafından dinamik olarak yapılandırılabilen bozuk yapıları taşıyan IOCTL'leri (giriş/çıkış kontrol sistemi çağrıları) kullanarak arşivler.