Rootkit Fire Chili: Deep Panda APT Resurge Con Nuevos Explotos Log4Shell
Tabla de contenidos:
Fire Chili es un nuevo tipo de malware que ha sido aprovechado por un grupo APT chino conocido como Deep Panda explotando Log4Shell vulnerabilidad en servidores VMware Horizon. El foco principal de los adversarios es el ciberespionaje. Las organizaciones objetivo incluyen instituciones financieras, académicas, industrias de viajes y cosméticos. Log4Shell está asociado con una vulnerabilidad de alta severidad CVE-2021-44228 vulnerabilidad en la biblioteca Java Log4j junto con una explotación a gran escala de Fortinet FortiOS (CVE-2018-13379).
Investigadores encontraron certificados digitales robados de Frostburn Studios que permitieron la evasión de software de seguridad y el despliegue de una puerta trasera. A continuación, se presentan las últimas reglas basadas en Sigma lanzadas en la plataforma de SOC Prime para detectar la nueva actividad maliciosa del colectivo de hackers Deep Panda.
Rootkit Llamado Fire Chili: Cómo Detectar
Esta regla creada por nuestro desarrollador de Threat Bounty Kyaw Pyiyt Htet detecta la creación de servicios de los rootkits Fire Chili de Deep Panda.
La regla está alineada con el último marco de MITRE ATT&CK® v.10 abordando la técnica de Crear o Modificar un Proceso del Sistema (T1543).
Otra regla sugerida por Kyaw Pyiyt Htet detecta la creación de archivos y registros del Rootkit Fire Chili de Deep Panda, abordando la técnica de Ejecución de Inicio o Registro de Autostart de MITRE ATT&CK® (T1547).
Actividad Suspechosa del ‘Rootkit Fire Chili’ de Deep Panda (a través de Sysmon)
Descubre más elementos de contenido relevante que abordan los ataques de Deep Panda en la plataforma SOC Prime’s Detection as Code. Y si eres un desarrollador de contenido de detección y quieres hacer tu propia contribución, eres muy bienvenido a unirte a nuestra iniciativa de crowdsourcing que ofrece recompensas y reconocimiento continuo para los profesionales de la seguridad.
Ver Detecciones Únete a Threat Bounty
Un Análisis del Rootkit Fire Chili Previamente Desconocido
La cadena de ataque es impulsada por la explotación de Log4Shell de servidores VMware Horizon vulnerables creada para desplegar el nuevo rootkit Fire Chili. Un nuevo proceso PowerShell permite cargar y ejecutar una cadena de scripts con una instalación DLL al final. Una combinación adicional de archivos BAT y EXE elimina la evidencia forense previa del disco de la máquina de la víctima.
Los investigadores han encontrado muchas similitudes entre la puerta trasera Fire Chili y Gh0st RAT, sin embargo, también existen algunas diferencias importantes. Por ejemplo, Fire Chili mantiene una comunicación sin comprimir con el servidor C&C, a diferencia de la comunicación comprimida con zlib que se observó en variantes de malware similares. Además, se agregó un nuevo comando a Fire Chili que informa al C&C sobre sesiones actuales en una máquina infectada. También, se han identificado algunas diferencias en los comandos CMD que se ocultan para evitar el software de detección que busca ejecuciones CMD.
A rootkit Fire Chili previamente no detectado también está asociado con la actividad de otro colectivo de hackers respaldado por China además de Deep Panda. Esta nueva cepa de malware tiene una base de código única que difiere de los rootkits utilizados por ambos grupos en ataques anteriores. Es posible que estos dos grupos compartan la misma infraestructura C2 y los certificados comprometidos.
Para agilizar la detección de amenazas emergentes y desconocidas, los equipos SOC pueden aprovechar el poder del enfoque colaborativo de defensa cibernética sugerido por la plataforma SOC Prime’s Detection as Code . Miles de elementos de contenido seleccionados se comparten continuamente por los principales ingenieros de seguridad del mundo, haciendo que la detección de amenazas sea más fácil, rápida y eficiente.
