Rootkit Fire Chili: APT Deep Panda Ressurge com Novas Explorações Log4Shell
Índice:
Fire Chili é uma nova cepa de malware que foi aproveitada por um grupo APT chinês Deep Panda explorando Log4Shell vulnerabilidade em servidores VMware Horizon. O foco principal dos adversários é a ciberespionagem. As organizações alvo incluem instituições financeiras, indústrias acadêmicas, de turismo e cosméticos. Log4Shell está associada a uma vulnerabilidade de alta gravidade CVE-2021-44228 vulnerabilidade na biblioteca Log4j Java junto com uma exploração em larga escala do Fortinet FortiOS (CVE-2018-13379).
Pesquisadores encontraram certificados digitais roubados da Frostburn Studios que permitiram a evasão de software de segurança e a implantação de uma porta dos fundos. Abaixo estão as últimas regras baseadas em Sigma lançadas na plataforma SOC Prime para detectar a nova atividade maliciosa do coletivo de hackers Deep Panda.
Rootkit Chamado Fire Chili: Como Detectar
Esta regra criada por nosso desenvolvedor Threat Bounty Kyaw Pyiyt Htet detecta a criação de serviço dos rootkits Fire Chili do Deep Panda.
Possível Persistência do Deep Panda por Detecção de Criação de Serviço Malicioso (via sistema)
A regra está alinhada com o último framework MITRE ATT&CK® v.10 abordando a técnica Criar ou Modificar Processo do Sistema (T1543).
Outra regra sugerida por Kyaw Pyiyt Htet detecta a criação de arquivos e criação de registros do Rootkit Fire Chili do Deep Panda, abordando a técnica MITRE ATT&CK® Boot ou Logon Autostart Execution (T1547).
Atividade Suspeita do ‘Fire Chili Rootkit’ do Deep Panda (via Sysmon)
Descubra mais itens de conteúdo relevantes abordando os ataques do Deep Panda na plataforma Detection as Code da SOC Prime. E se você é um desenvolvedor de conteúdo de detecção e quer fazer sua própria contribuição, você é altamente bem-vindo a juntar-se à nossa iniciativa de crowdsourcing que traz recompensas e reconhecimento contínuos para profissionais de segurança.
Visualizar Detecções Junte-se ao Threat Bounty
Uma Análise do Rootkit Fire Chili Anteriormente Desconhecido
A cadeia de ataques é impulsionada pela exploração do Log4Shell de servidores VMware Horizon vulneráveis construídos para implantar o novo rootkit Fire Chili. Um novo processo PowerShell é criado para carregar e executar uma cadeia de scripts com uma instalação DLL no final. Adicionalmente, combinações de arquivos BAT e EXE eliminam evidências forenses anteriores do disco da máquina da vítima.
Pesquisadores encontraram muitas semelhanças entre o backdoor Fire Chili e o Gh0st RAT, no entanto, há algumas diferenças importantes também. Por exemplo, Fire Chili mantém comunicação não comprimida com o servidor C&C, ao contrário da comunicação comprimida por zlib que foi observada em variantes de malware semelhantes. Além disso, um novo comando foi adicionado ao Fire Chili que informa o C&C sobre sessões atuais em uma máquina infectada. Além disso, algumas diferenças foram identificadas em comandos CMD que estão sendo ocultados para evitar software de detecção que escaneia execuções CMD.
A rootkit Fire Chili anteriormente não detectado também está associado à atividade de outro coletivo de hackers apoiado pela China além do Deep Panda. Esta nova cepa de malware tem uma base de código única que difere dos rootkits que foram usados por ambos os grupos em ataques anteriores. É possível que esses dois grupos compartilhem a mesma infraestrutura de C2 e certificados comprometidos.
Para agilizar a detecção de ameaças emergentes e desconhecidas, as equipes SOC podem aproveitar o poder da abordagem colaborativa de defesa cibernética sugerida pela plataforma Detection as Code da SOC Prime. Milhares de itens de conteúdo curados estão sendo compartilhados continuamente pelos engenheiros de segurança mais proeminentes do mundo, tornando a detecção de ameaças mais fácil, rápida e eficiente.
