Rootkit Piment de Feu : Le groupe APT Deep Panda refait surface avec de nouvelles exploitations Log4Shell

[post-views]
avril 04, 2022 · 4 min de lecture
Rootkit Piment de Feu : Le groupe APT Deep Panda refait surface avec de nouvelles exploitations Log4Shell

Fire Chili est une souche nouvelle de malware qui a été exploité par un groupe APT chinois, Deep Panda, en tirant parti de Log4Shell vulnérabilité dans les serveurs VMware Horizon. L’objectif principal des adversaires est l’espionnage informatique. Les organisations ciblées incluent les institutions financières, le secteur académique, les industries du voyage et des cosmétiques. Log4Shell est associé à une CVE-2021-44228 de haute gravité vulnérabilité dans la bibliothèque Java Log4j ainsi qu’une exploitation à grande échelle de Fortinet FortiOS (CVE-2018-13379).

Les chercheurs ont trouvé des certificats numériques volés de Frostburn Studios qui ont permis l’évasion des logiciels de sécurité et le déploiement d’une porte dérobée. Voici ci-dessous les dernières règles basées sur Sigma publiées sur la plateforme SOC Prime pour détecter la nouvelle activité malveillante du collectif de pirates informatiques Deep Panda.

Rootkit nommé Fire Chili : Comment détecter

Cette règle créée par notre développeur Threat Bounty, Kyaw Pyiyt Htet, détecte la création de services des rootkits Fire Chili de Deep Panda.

Persistance possible de Deep Panda par détection de création de service malveillant (via système)

La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10 abordant la technique Create or Modify System Process (T1543).

Une autre règle suggérée par Kyaw Pyiyt Htet détecte la création de fichiers et de registres des Rootkits Fire Chili de Deep Panda, abordant la technique Boot or Logon Autostart Execution (T1547) du MITRE ATT&CK®.

Activité suspecte du ‘Rootkit Fire Chili’ de Deep Panda (via Sysmon)

Découvrez plus d’éléments de contenu pertinents traitant des attaques de Deep Panda sur la plateforme Detection as Code de SOC Prime. Et si vous êtes un développeur de contenu de détection et souhaitez y apporter votre propre contribution, vous êtes le bienvenu pour rejoindre notre initiative de crowdsourcing qui apporte des récompenses continues et une reconnaissance pour les professionnels de la sécurité.

Voir les détections Rejoindre Threat Bounty

Une analyse du Rootkit Fire Chili précédemment inconnue

La chaîne d’attaque est entraînée par l’exploitation de Log4Shell sur des serveurs VMware Horizon vulnérables conçus pour déployer le nouveau rootkit Fire Chili. Un nouveau processus PowerShell permet le chargement et l’exécution d’une chaîne de scripts avec une installation de DLL à la fin. Une combinaison supplémentaire de fichiers BAT et EXE supprime les preuves médico-légales précédentes du disque de la machine de la victime.

Les chercheurs ont trouvé de nombreuses similitudes entre le backdoor Fire Chili et le Gh0st RAT, cependant, il existe aussi des différences importantes. Par exemple, Fire Chili maintient une communication non compressée avec le serveur C&C, contrairement à la communication compressée zlib observée dans des variantes de malware similaires. De plus, une nouvelle commande a été ajoutée à Fire Chili qui informe le C&C des sessions actuelles sur une machine infectée. Par ailleurs, certaines différences ont été identifiées dans les commandes CMD qui sont cachées pour éviter le logiciel de détection qui recherche les exécutions CMD.

A Le rootkit Fire Chili précédemment indétecté est également associé à l’activité d’un autre collectif de pirates soutenu par la Chine en plus de Deep Panda. Cette nouvelle souche de malware possède une base de code unique qui diffère des rootkits utilisés par ces deux groupes lors d’attaques précédentes. Il est possible que ces deux groupes partagent la même infrastructure C2 et les certificats compromis.

Pour rationaliser la détection des menaces émergentes et inconnues, les équipes SOC peuvent tirer parti de l’approche collaborative de la cyberdéfense suggérée par la plateforme Detection as Code de SOC Prime. Des milliers d’éléments de contenu enrichis sont partagés en continu par les meilleurs ingénieurs de sécurité du monde, rendant la détection des menaces plus facile, plus rapide et plus efficace.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection de CVE-2025-8088 : une faille zero-day de WinRAR exploitée dans la nature pour installer le malware RomCom 6 min de lecture Dernières Menaces Détection de CVE-2025-8088 : une faille zero-day de WinRAR exploitée dans la nature pour installer le malware RomCom by Daryna Olyniychuk Vulnérabilité CVE-2025-6558 : Zero-Day Google Chrome en Exploitation Active 4 min de lecture Dernières Menaces Vulnérabilité CVE-2025-6558 : Zero-Day Google Chrome en Exploitation Active by Daryna Olyniychuk CVE-2025-25257 : Faille critique d’injection SQL dans FortiWeb permettant l’exécution de code à distance sans authentification 4 min de lecture Dernières Menaces CVE-2025-25257 : Faille critique d’injection SQL dans FortiWeb permettant l’exécution de code à distance sans authentification by Veronika Telychko
Toutes les actualités