Fire Chili Rootkit: Deep Panda APT Riappare con Nuovi Exploit Log4Shell
Indice:
Fire Chili è un ceppo nuovo di malware che è stato utilizzato da un gruppo APT cinese, Deep Panda, sfruttando Log4Shell vulnerabilità nei server VMware Horizon. Il principale obiettivo degli avversari è lo spionaggio informatico. Le organizzazioni mirate includono istituzioni finanziarie, enti accademici, industrie del turismo e della cosmesi. Log4Shell è associata a una CVE-2021-44228 ad alta gravità vulnerabilità nella libreria Java Log4j insieme a uno sfruttamento su larga scala di Fortinet FortiOS (CVE-2018-13379).
I ricercatori hanno trovato certificati digitali rubati da Frostburn Studios che hanno consentito di eludere i software di sicurezza e implementare una backdoor. Di seguito sono riportate le ultime regole basate su Sigma rilasciate nella piattaforma SOC Prime per rilevare la nuova attività dannosa del collettivo di hacker Deep Panda.
Rootkit chiamato Fire Chili: come rilevare
Questa regola, creata dal nostro sviluppatore di Threat Bounty Kyaw Pyiyt Htet, rileva la creazione di servizi dei rootkit Fire Chili di Deep Panda.
La regola è allineata con l’ultima versione del framework MITRE ATT&CK® v.10, affrontando la tecnica Create or Modify System Process (T1543).
Un’altra regola suggerita da Kyaw Pyiyt Htet rileva la creazione di file e il registro dei rootkit Fire Chili di Deep Panda, affrontando la tecnica MITRE ATT&CK® Boot or Logon Autostart Execution (T1547).
Attività sospetta ‘Fire Chili Rootkit’ di Deep Panda (via Sysmon)
Scopri ulteriori elementi di contenuto rilevanti per affrontare gli attacchi di Deep Panda nella piattaforma di rilevazione come codice di SOC Prime. E se sei uno sviluppatore di contenuti di rilevamento e desideri dare il tuo contributo, sei più che benvenuto a unirti alla nostra iniziativa di crowdsourcing che offre continui premi e riconoscimenti per i professionisti della sicurezza.
Visualizza rilevamenti Unisciti a Threat Bounty
Analisi di un Rootkit Fire Chili precedentemente sconosciuto
La catena di attacco è guidata dall’esploit Log4Shell di server VMware Horizon vulnerabili progettati per distribuire il nuovo rootkit Fire Chili. Un nuovo processo PowerShell permette il caricamento e l’esecuzione di una catena di script con un’installazione DLL alla fine. Una combinazione di file BAT ed EXE aggiuntiva elimina prove forensi precedenti dal disco della macchina vittima.
I ricercatori hanno trovato molte somiglianze tra la backdoor Fire Chili e Gh0st RAT, tuttavia, ci sono alcune differenze importanti. Ad esempio, Fire Chili mantiene una comunicazione non compressa con il server C&C, diversamente dalla comunicazione compressa con zlib osservata in varianti di malware simili. Inoltre, è stato aggiunto un nuovo comando a Fire Chili che informa il C&C sulle sessioni correnti su una macchina infetta. Inoltre, sono state identificate alcune differenze nei comandi CMD che sono nascosti per evitare il software di rilevamento che esegue scansioni per esecuzioni CMD.
A rootkit Fire Chili precedentemente non rilevato è anche associato all’attività di un altro collettivo di hacking sostenuto dalla Cina oltre a Deep Panda. Questo nuovo tipo di malware ha una base di codice unica che differisce dai rootkit utilizzati da entrambi i gruppi in attacchi precedenti. È possibile che questi due gruppi condividano la stessa infrastruttura C2 e certificati compromessi.
Per ottimizzare il rilevamento di minacce emergenti e sconosciute, i team SOC possono sfruttare la potenza dell’approccio collaborativo alla difesa informatica suggerito dalla piattaforma SOC Prime’s Detection as Code . Migliaia di elementi di contenuto curati vengono condivisi su base continua dai principali ingegneri della sicurezza del mondo, rendendo il rilevamento delle minacce più facile, veloce ed efficiente.
