ファイヤーチリルートキット:ディープパンダAPTが新たなLog4Shellエクスプロイトで再登場

[post-views]
4月 04, 2022 · 6 分で読めます
ファイヤーチリルートキット:ディープパンダAPTが新たなLog4Shellエクスプロイトで再登場

Fire Chiliは新種の マルウェアであり、中国のAPTグループDeep Pandaにより活用されています。彼らは Log4Shell の脆弱性を利用してVMware Horizonサーバーを攻撃しています。対戦相手の主な焦点はサイバースパイです。ターゲットとされる組織は、金融機関、学術、旅行業界、化粧品業界を含みます。Log4Shellは高危険度のCVE-2021-44228 の脆弱性 と関連付けられており、Fortinet FortiOS(CVE-2018-13379).

研究者たちは Frostburn Studiosから盗まれたデジタル証明書を発見しました。これはセキュリティソフトウェアの回避とバックドアの展開を可能にしました。以下は、Deep Pandaハッカー集団の新たな悪意ある活動を検出するためにSOC PrimeプラットフォームでリリースされたSigmaベースの最新規則です。 stolen digital certificates from Frostburn Studios which enabled security software evasion and the deployment of a backdoor. Below are the latest Sigma-based rules released in the SOC Prime Platform to detect the new malicious activity of the Deep Panda hacking collective.

Rootkit Named Fire Chili: 検出方法

われわれのThreat Bounty開発者Kyaw Pyiyt Htetによって作成されたこのルールは、Deep PandaのFire Chiliルートキットのサービス作成を検出します。

悪意あるサービス作成の検出による可能性のあるDeep Pandaの永続化 (via system)

このルールは、最新のMITRE ATT&CK®フレームワークv.10に沿っており、システムプロセスの作成または変更(T1543)の技術に対応しています。

Kyaw Pyiyt Htetが提案したもう一つのルールは、Deep PandaのFire Chiliルートキットのファイル作成とレジストリ作成を検出し、MITRE ATT&CK®起動またはログオン自動実行(T1547)技術に対処しています。

疑わしいDeep Panda『Fire Chiliルートキット』活動 (via Sysmon)

SOC PrimeのDetection as CodeプラットフォームでDeep Pandaの攻撃に対応する関連コンテンツアイテムをもっと発見してください。もしあなたが検出コンテンツ開発者で貢献したいのであれば、安全保障の専門家として継続的な報酬と評価を得るために、私たちのクラウドソーシングの取り組みに参加することを強くお勧めします。

検出を表示 Threat Bountyに参加

以前は知られていなかったFire Chiliルートキットの分析

攻撃の連鎖は、脆弱なVMware HorizonサーバーのLog4Shellの利用によって駆動され、 新しいFire Chiliルートキットを展開します。新しいPowerShellプロセスは、一連のスクリプトをロードして実行するDLLインストールを最後に行います。追加のBATとEXEファイルの組み合わせは、被害者のマシン上の過去の法医学的証拠をディスクから削除します。

研究者たちは、Fire ChiliバックドアとGh0st RAT間に多くの類似点を見つけましたが、重要な違いもあります。例えば、Fire ChiliはC&Cサーバーとの通信を未圧縮のまま維持しますが、従来のマルウェア変異型ではzlibで圧縮された通信が観察されました。また、感染した機械上の現在のセッションについてC&Cに通知する新しいコマンドがFire Chiliに追加されました。また、CMDコマンドのいくつかは、CMDの実行をスキャンする検出ソフトウェアを回避するために隠されることが確認されています。

A 以前に検出されていなかったFire Chiliルートキット は、Deep Panda以外の中国支援のハッカーグループの活動とも関連しています。この新種のマルウェアは、一連の攻撃でこれらのグループ双方が使用したルートキットとは異なる独自のコードベースを持ちます。これら二つのグループが同じC2インフラストラクチャと侵害された証明書を共有している可能性があります。

新たに出現した未知の脅威を検出するために統合されたサイバー防御アプローチを活用できるように、SOCチームは、 SOC PrimeのDetection as Code プラットフォームが提案する力を利用します。数千のキュレーションされたコンテンツアイテムが、世界の著名なセキュリティエンジニアによって継続的に共有されており、脅威の検出をより簡単、迅速、かつ効率的にしています。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

CVE-2025-8088 検出: WinRARゼロデイがロムコムマルウェアをインストールするために野放しに活動している 8 分で読めます 最新の脅威 CVE-2025-8088 検出: WinRARゼロデイがロムコムマルウェアをインストールするために野放しに活動している by Daryna Olyniychuk CVE-2025-6558:Google Chromeゼロデイ脆弱性、実際の攻撃で悪用中 6 分で読めます 最新の脅威 CVE-2025-6558:Google Chromeゼロデイ脆弱性、実際の攻撃で悪用中 by Daryna Olyniychuk CVE-2025-25257:FortiWebの重大なSQLインジェクション脆弱性により、認証不要のリモートコード実行が可能に 6 分で読めます 最新の脅威 CVE-2025-25257:FortiWebの重大なSQLインジェクション脆弱性により、認証不要のリモートコード実行が可能に by Veronika Telychko
すべてのニュース