파이어 칠리 루트킷: 딥 팬더 APT, 새로운 Log4Shell 익스플로잇으로 재부상

Fire Chili는 새로운 변종의 악성코드로, 중국 APT 그룹 Deep Panda가 Log4Shell VMware Horizon 서버의 취약점을 악용하고 있습니다. 적들의 주요 목표는 사이버 스파이 활동입니다. 목표 대상 조직에는 금융 기관, 학계, 여행 및 화장품 산업이 포함됩니다. Log4Shell은 고심각도 CVE-2021-44228 취약점 과 관련이 있으며 Fortinet FortiOS의 대규모 악용 사례를 포함합니다 (CVE-2018-13379).

연구자들은 Frostburn Studios에서 도난당한 디지털 인증서를 발견하여 보안 소프트웨어 회피 및 백도어 배포를 가능하게 했습니다. 아래는 Deep Panda 해킹 집단의 새로운 악성 활동을 감지하기 위해 SOC Prime 플랫폼에서 제공하는 최신 Sigma 기반 규칙입니다. stolen digital certificates from Frostburn Studios which enabled security software evasion and the deployment of a backdoor. Below are the latest Sigma-based rules released in the SOC Prime Platform to detect the new malicious activity of the Deep Panda hacking collective.

Fire Chili로 명명된 루트킷: 탐지 방법

우리의 Threat Bounty 개발자 Kyaw Pyiyt Htet가 만든 이 규칙은 Deep Panda의 Fire Chili 루트킷의 서비스 생성 감지를 합니다.

시스템을 통한 악성 서비스 생성 탐지를 통한 가능한 Deep Panda 지속성

이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10과 정렬되어 시스템 프로세스 생성 또는 수정 (T1543) 기술을 다룹니다.

Kyaw Pyiyt Htet가 제안한 또 다른 규칙은 Deep Panda의 Fire Chili Rootkit의 파일 생성 및 레지스트리 생성을 감지하여 MITRE ATT&CK® 부팅 또는 로그온 자동 시작 실행 (T1547) 기술을 다룹니다.

Sysmon을 통한 의심스러운 Deep Panda ‘Fire Chili Rootkit’ 활동

SOC Prime의 Detection as Code 플랫폼에서 Deep Panda의 공격을 다루는 관련 콘텐츠 항목을 더 많이 발견하십시오. 또한 탐지 콘텐츠 개발자라면, 보안 전문가에게 지속적인 보상과 인정을 제공하는 우리의 크라우드소싱 이니셔티브에 참여하여 기여할 수 있습니다.

탐지 보기 Threat Bounty 참여

이전에 알려지지 않은 Fire Chili 루트킷 분석

공격 체인은 취약한 VMware Horizon 서버에 대한 Log4Shell 악용을 통해 새로운 Fire Chili 루트킷을 배포하기 위해 추진됩니다.새로운 PowerShell 프로세스는 스크립트 체인을 로드하고 실행하며, 최종적으로 DLL 설치를 수행합니다. 추가적인 BAT 및 EXE 파일 조합은 피해자의 기기 디스크에서 이전의 포렌식 증거를 삭제합니다.

연구자들은 Fire Chili 백도어와 Gh0st RAT 간의 많은 유사성을 발견했지만, 몇 가지 중요한 차이점도 있습니다. 예를 들어, Fire Chili는 C&C 서버와의 비압축 통신을 유지하여 압축된 통신을 사용하는 다른 멀웨어 변종과 차별화됩니다. 또한, 감염된 기기의 현재 세션을 C&C에 알리는 명령이 Fire Chili에 새로 추가되었습니다. 또한 CMD 명령의 탐지 소프트웨어를 피하기 위해 CMD 실행을 검색하는 소프트웨어를 우회하도록 숨겨진 차이점도 알려졌습니다.

A 이전에 탐지되지 않은 Fire Chili 루트킷 은 Deep Panda 외에도 또 다른 중국 후원의 해킹 그룹 활동과 관련이 있습니다. 이 새로운 악성코드 변종은 두 그룹이 이전 공격에서 사용했던 루트킷의 코드베이스와는 다른 고유한 코드를 가지고 있습니다. 이 두 그룹이 동일한 C2 인프라와 손상된 인증서를 공유할 가능성이 있습니다.

새로운 위협 탐지의 간소화를 위해 SOC 팀은 SOC Prime’s Detection as Code 플랫폼이 제안하는 공동 사이버 방어 접근법의 힘을 활용할 수 있습니다. 세계의 저명한 보안 엔지니어들이 위협 감지를 더 쉽고 빠르며 효율적으로 만들기 위해 지속적으로 공유하는 수천 개의 큐레이팅된 콘텐츠 항목이 있습니다.