Fire Chili Rootkit

悪質な中国のAPT（Advanced Persistent Threat）グループであるDeep Pandaは、新たな脅威となる武器を使用して捕らえられました。 Fire Chiliという名前のマルウェアは、ルートキットカテゴリに分類され、Windowsシステムへの感染を目的としています。サイバーセキュリティアナリストが発表したレポートによると、このルートキットはLog4Shellエクスプロイトを介してVMware Horizonサーバーに配信され、2017年4月にリリースされたWindows 10CreatorsUpdateまでのWindowsバージョンに影響を与える可能性があります。

ルートキットは、侵入先のシステムに深く潜り込み、最下位レベルで侵入アクションを実行する可能性があるため、非常に脅威的なタイプのマルウェアであり、多数のセキュリティチェックやマルウェア対策をバイパスします。最初の感染時にアンチウイルスツールによって検出されないようにするために、Fire Chiliには、Frotburn Studios（ゲーム開発会社）またはComodo（セキュリティソフトウェア開発者）に属する有効なデジタル証明書が装備されています。研究者たちは、証明書が意図された所有者から悪用されたと信じています。

開始されると、Fire Chiliは、仮想化またはサンドボックス環境の兆候を検出するために、一連の基本的なシステムテストを実行します。この脅威は、対象となるカーネル構造とオブジェクトがシステムに存在することも確認します。マルウェアの主な目的は、ハッカーの他の侵入行為を隠しておくことです。 Fire Chiliは、ファイルの操作、プロセス、レジストリシステムへの追加、および不正なネットワーク接続がユーザーやセキュリティソフトウェアツールに気付かれることを隠すことができます。脅威アクターによって動的に構成できる破損したアーティファクトを運ぶIOCTL（入力/出力制御システムコール）を使用して、これをアーカイブします。