Fire Chili Rootkit: Deep Panda APT taucht mit neuen Log4Shell-Exploits wieder auf

Fire Chili ist eine neuartige Variante von Malware, die von einer chinesischen APT-Gruppe Deep Panda ausgenutzt wird, um Log4Shell Schwachstelle in VMware Horizon Servern auszunutzen. Der primäre Fokus der Angreifer liegt auf Cyber-Spionage. Zielorganisationen umfassen Finanzinstitute, akademische Einrichtungen, Reise- und Kosmetikbranchen. Log4Shell ist mit der hochgradigen Schwachstelle CVE-2021-44228 verbunden im Log4j Java-Bibliothek zusammen mit groß angelegter Ausnutzung von Fortinet FortiOS (CVE-2018-13379).

Forscher fanden gestohlene digitale Zertifikate von Frostburn Studios, die das Umgehen von Sicherheitssoftware und das Einfügen einer Hintertür ermöglichten. Unten sind die neuesten Sigma-basierten Regeln aufgeführt, die auf der SOC Prime Plattform veröffentlicht wurden, um die neue bösartige Aktivität des Deep Panda Hacking-Kollektivs zu erkennen.

Rootkit namens Fire Chili: Wie man es erkennt

Diese Regel, erstellt von unserem Threat Bounty-Entwickler Kyaw Pyiyt Htet, erkennt die Dienst-Erstellung von Deep Panda’s Fire Chili Rootkits.

Mögliche Deep Panda Persistenz durch Erkennung von bösartiger Dienst-Erstellung (über System)

Die Regel ist auf den neuesten MITRE ATT&CK® Rahmen v.10 ausgerichtet und adressiert die Technik „Create or Modify System Process“ (T1543).

Eine weitere Regel, vorgeschlagen von Kyaw Pyiyt Htet, erkennt die Dateierstellung und Registrierungserstellung von Deep Panda’s Fire Chili Rootkit und adressiert die MITRE ATT&CK® Boot oder Logon Autostart Execution (T1547) Technik.

Verdächtige Deep Panda ‚Fire Chili Rootkit‘ Aktivität (über Sysmon)

Entdecken Sie mehr über die relevanten Inhalte, die sich mit den Angriffen von Deep Panda auf der SOC Prime’s Detection as Code Plattform befassen. Und wenn Sie ein Entwickler von Erkennungsinhalten sind und Ihren eigenen Beitrag leisten möchten, sind Sie herzlich eingeladen, sich unserer Crowdsourcing-Initiative anzuschließen, die kontinuierliche Belohnungen und Anerkennungen für Sicherheitsprofis bietet.

Erkennungen anzeigen Threat Bounty beitreten

Eine bisher unbekannte Fire Chili Rootkit Analyse

Die Angriffsserie wird durch die Ausnutzung von Log4Shell in verwundbaren VMware Horizon Servern angetrieben, um das neue Fire Chili Rootkit bereitzustellen. Ein neuer PowerShell-Prozess ermöglicht das Laden und Ausführen einer Reihe von Skripten mit einer DLL-Installation am Ende. Eine zusätzliche BAT- und EXE-Kombination von Dateien löscht frühere forensische Beweise vom Datenträger der Maschine eines Opfers.

Forscher haben viele Ähnlichkeiten zwischen dem Fire Chili Hintertür und Gh0st RAT gefunden, es gibt jedoch auch einige wichtige Unterschiede. Beispielsweise hält Fire Chili unkomprimierte Kommunikation mit dem C&C-Server aufrecht, im Gegensatz zu zlib-komprimierter Kommunikation, die in ähnlichen Malware-Varianten beobachtet wurde. Außerdem wurde ein neuer Befehl hinzugefügt, der das C&C über aktuelle Sitzungen auf einer infizierten Maschine informiert. Auch wurden einige Unterschiede in CMD-Befehlen identifiziert, die verborgen werden, um Erkennungssoftware zu umgehen, die auf CMD-Ausführungen scannt.

A bisher unentdecktes Fire Chili Rootkit wird auch mit der Aktivität eines anderen von China unterstützten Hacking-Kollektivs neben Deep Panda in Verbindung gebracht. Diese neue Malware-Variante hat eine einzigartige Codebasis, die sich von Rootkits unterscheidet, die zuvor von beiden Gruppen in Angriffen verwendet wurden. Es ist möglich, dass diese beiden Gruppen dieselbe C2-Infrastruktur und kompromittierte Zertifikate teilen.

Um die Erkennung neuer und unbekannter Bedrohungen zu vereinfachen, können SOC-Teams die Kraft des kollaborativen Cyberverteidigungsansatzes nutzen, der von SOC Prime’s Detection as Code Plattform vorgeschlagen wird. Tausende kuratierter Inhaltselemente werden kontinuierlich von den weltweit führenden Sicherheitsingenieuren geteilt, um die Bedrohungserkennung einfacher, schneller und effizienter zu machen.