Руткит подписан цифровым сертификатом Frostburn Studios или Comodo, благодаря чему ему удается избегать обнаружения.

Китайская хакерская группировка Deep Panda атакует серверы VMware Horizon через уязвимость Log4Shell и устанавливает на них новый руткит Fire Chili.

Руткит подписан цифровым сертификатом Frostburn Studios (разработчик видеоигр) или Comodo, благодаря чему ему удается избегать обнаружения антивирусным ПО. Аналитики ИБ-компании Fortinet, отслеживающие последнюю активность Deep Panda, считают , что сертификаты были похищены у вышеупомянутых компаний.

Deep Panda – известная APT-группа из Китая, уже многие годы специализирующаяся на кибершпионаже. В недавней кампании Deep Panda, обнаруженной специалистами Fortinet, хакерская группа развертывает новый руткит Fire Chili для обхода обнаружения на скомпрометированной системе.

Как правило, руткиты устанавливаются как драйверы, захватывающие различные Windows API для сокрытия присутствия на операционной системе других файлов и настроек конфигурации. Руткит, подписанный действительным цифровым сертификатом, позволяет обходить обнаружение решениями безопасности и загружаться на Windows, не вызывая никаких предупреждений безопасности.

После запуска Fire Chili выполняет базовое тестирование системы с целью удостовериться, что это не виртуальная машина, и проверяет структуры ядра и объекты, которые затем будут использоваться в операции.

Как сообщает Fortinet, самой последней версией ОС, поддерживаемой Fire Chili, является Windows 10 Creators Update, которая вышла в 2017 году.

Источник: securitylab