กลุ่มแฮกเกอร์จีน ใช้ Rookit บน Windows ตัวใหม่ที่ชื่อว่า Fire Chili

Deep Panda กลุ่มแฮ็กเกอร์ชาวจีน ใช้ช่องโหว่ log4shell โจมตีไปยัง VMware Horizon Server เพื่อติดตั้ง rootkit ตัวใหม่ที่มีชื่อเรียกว่า Fire Chili

Rootkit ดังกล่าว มี Digital signed certificate จาก Frostburn Studios (ผู้พัฒนาเกม) หรือจาก Comodo (ซอฟต์แวร์ด้านความปลอดภัย) ทำให้มันสามารถที่จะหลบเลี่ยงการตรวจจับของซอฟแวร์ป้องกันไวรัสได้ ซึ่งล่าสุดทาง Fortinet พบว่ากลุ่มแฮ็กเกอร์ Deep Panda ได้ทำการขโมย certificates ที่ถูกต้องดังกล่าวมาจากบริษัทข้างต้น

Deep Panda เป็นหนึ่งใน APT สัญชาติจีนที่มีชื่อเสียงอย่างมากในปฏิบัติการจารกรรมทางไซเบอร์มาเป็นระยะเวลานาน โดย FBI สามารถจับกุมสมาชิกของกลุ่มได้รายหนึ่งเมื่อปี 2560 หลังจากมีหลักฐานว่าเจ้าตัวเกี่ยวข้องกับการโจมตีโดยใช้ช่องโหว่ Zero-day 3 ช่องโหว่

Fire Chili rootkit

Rootkit เป็นมัลแวร์ที่มักจะแอบติดตั้งในรูปแบบเหมือนเป็น driver ของ Windows API ต่างๆ เพื่อแอบซ่อนไฟล์ หรือ Process ต่างๆของมันในระบบปฏิบัติการ เช่น ด้วยการเชื่อมต่อกับฟังก์ชัน programming บน Windows ตัว rootkit สามารถซ่อนชื่อไฟล์ process และ registry keys ไม่ให้ถูกตรวจพบได้ และเนื่องจากตัวมันมี digital certificates ที่ถูกต้องอีกด้วย จึงทำให้สามารถหลีกเลี่ยงการตรวจจับของซอฟแวร์ด้านความปลอดภัยและติดตั้งลงบนเครื่องได้อย่างง่ายดาย

หลังจากเริ่มทำงาน Fire Chili จะทำการตรวจสอบด้วยว่าตัวมันกำลังทำงานอยู่บนระบบที่ไม่ใช่ระบบที่ถูกสร้างขึ้นเพื่อดักจับการทำงานของมันอย่างเช่นพวก honeypot ได้อีกด้วย

Rootkit จะใช้ฟังก์ชันในการซ่อนตัวที่เรียกว่า IOCTLs (input/output control system calls) ตัวอย่างเช่น ในการซ่อนการเชื่อมต่อด้วย TCP Protocol จาก Netstat rootkit จะดักจับการเรียกใช้งาน IOCTL ตามปกติ หลังจากนั้นจะ Filter connection ของตัวมันออก แล้วค่อยแสดงผลเพื่อหลีกเลี่ยงการตรวจจับพฤติกรรมของมัน

นอกจากนี้ทาง Fortinet ยังพบว่าเคมเปญดังกล่าวมีความเกี่ยวข้องกับ Winnti ซึ่งก็เป็นอีกกลุ่มแฮ็กเกอร์ชาวจีนที่เป็นที่รู้จักในการโจมตีโดยใช้ Digital signed certificate ที่ถูกต้องเช่นเดียวกัน โดยกลุ่ม Winnti นั้นจะโจมตีไปยังบริษัทเกมเพื่อแอบขโมยข้อมูล digital certificates ออกมา ข้อมูลการเชื่อมโยงระหว่างสองกลุ่มนี้อาจยังไม่ชัดเจน แต่มีความเป็นไปได้ว่านักพัฒนาทั้งสองกลุ่มจะแบ่งปันข้อมูลกัน เช่น Digital signed certificate และ C2 Server เป็นต้น

ที่มา : bleepingcomputer

Read more