Fire Chili Rootkit

Die schändliche chinesische APT-Gruppe (Advanced Persistent Threat) Deep Panda wurde dabei erwischt, wie sie eine neue, bedrohliche Ergänzung ihres Arsenals einsetzte. Die Malware mit dem Namen Fire Chili fällt in die Rootkit-Kategorie und zielt darauf ab, Windows-Systeme zu infizieren. Laut dem von Cybersicherheitsanalysten veröffentlichten Bericht wird dieses Rootkit über den Log4Shell-Exploit an VMware Horizon-Server geliefert und kann Windows-Versionen bis zu Windows 10 Creators Update, das im April 2017 veröffentlicht wurde, beeinträchtigen.

Rootkits sind äußerst bedrohliche Arten von Malware, da sie sich tief in die kompromittierten Systeme eingraben und auf der untersten Ebene Eingriffe durchführen können, wodurch zahlreiche Sicherheitsprüfungen und Anti-Malware-Maßnahmen umgangen werden. Um bei der Erstinfektion nicht von Antiviren-Tools entdeckt zu werden, ist Fire Chili mit gültigen digitalen Zertifikaten von Frotburn Studios (einem Spieleentwickler) oder Comodo (einem Entwickler von Sicherheitssoftware) ausgestattet. Die Forscher glauben, dass die Zertifikate von ihren beabsichtigten Besitzern unterschlagen wurden.

Nach dem Start führt Fire Chili eine Reihe grundlegender Systemtests durch, um Anzeichen von Virtualisierung oder Sandbox-Umgebungen zu erkennen. Die Bedrohung stellt auch sicher, dass die anvisierten Kernelstrukturen und -objekte im System vorhanden sind. Das Hauptziel der Malware besteht darin, die anderen Eingriffe der Hacker zu verbergen. Fire Chili kann Dateioperationen, Prozesse, Ergänzungen des Registrierungssystems und illegitime Netzwerkverbindungen vor der Wahrnehmung durch Benutzer oder Sicherheitssoftwaretools verbergen. Es archiviert dies mithilfe von IOCTLs (Input/Output Control System Calls), die die beschädigten Artefakte enthalten, die von den Bedrohungsakteuren dynamisch konfiguriert werden können.