Руткіт Fire Chili

Зловмисну китайську групу APT (Advanced Persistent Threat) Deep Panda зловили на використанні нового, загрозливого доповнення до свого арсеналу. Зловмисне програмне забезпечення під назвою Fire Chili відноситься до категорії руткітів і спрямоване на зараження систем Windows. Згідно зі звітом, опублікованим аналітиками з кібербезпеки, цей руткіт доставляється на сервери VMware Horizon через експлойт Log4Shell і здатний впливати на версії Windows аж до оновлення Windows 10 Creators Update, яке було випущено в квітні 2017 року.

Руткіти є надзвичайно небезпечними типами зловмисного програмного забезпечення, оскільки вони можуть глибоко проникати в скомпрометовані системи та виконувати нав’язливі дії на найнижчому рівні, обходячи таким чином численні перевірки безпеки та заходи захисту від шкідливого програмного забезпечення. Щоб уникнути виявлення антивірусними засобами під час початкового зараження, Fire Chili оснащено дійсними цифровими сертифікатами, що належать Frotburn Studios (компанія розробника ігор) або Comodo (розробник програмного забезпечення безпеки). Дослідники вважають, що сертифікати були незаконно вилучені у їх передбачуваних власників.

Після запуску Fire Chili виконує серію базових системних тестів, намагаючись виявити ознаки віртуалізації або пісочниць. Загроза також гарантує, що цільові структури та об’єкти ядра присутні в системі. Основна мета зловмисного програмного забезпечення – приховати інші нав’язливі дії хакерів. Fire Chili може маскувати операції з файлами, процеси, доповнення до системи реєстру та нелегітимні мережеві з’єднання від того, щоб їх помітили користувачі або програмні засоби безпеки. Він архівує це за допомогою IOCTL (системні виклики введення/виводу), що переносять пошкоджені артефакти, які можуть динамічно налаштовуватися суб’єктами загрози.