Deep Panda ha lanzado nuevos ataques este mes que aprovechan Log4Shell para implementar el nuevo rootkit Fire Chili.
Deep Panda es un grupo chino de piratería de amenazas persistentes avanzadas (APT) que ha estado activo durante al menos una década. La APT se dirige a organizaciones gubernamentales, de defensa, de salud, de telecomunicaciones y financieras, por nombrar algunas, con fines que incluyen el robo de datos y la vigilancia.
Los atacantes cibernéticos tienen una amplia gama de herramientas maliciosas, incluida la puerta trasera Milestone y el troyano de acceso remoto (RAT) Infoadmin basado en el código Gh0st RAT. También puede haber afiliación a Winnti, un grupo chino separado conocido por apuntar a desarrolladores y vendedores de juegos.
Una nueva campaña detectada por los investigadores de FortiGuard Labs es obra de Deep Panda, que está dirigida a organizaciones en las industrias de finanzas, viajes y cosmética.
Durante el mes pasado, FortiGuard detectó la explotación activa de Log4Shell por parte del grupo, una vulnerabilidad crítica en la biblioteca de registro Apache Log4J Java (CVE-2021-44228, CVSS 10.0), para difundir un nuevo rootkit «novedoso».
Los atacantes de varios grupos usan Log4Shell para comprometer los servidores VMware Horizon para la exfiltración de datos y el criptojacking.
En el caso de Deep Panda, el nuevo rootkit, denominado Fire Chili, está diseñado para mantener las actividades bajo el radar y se implementa junto con la puerta trasera de Milestone.
Fire Chili ha sido firmado con un certificado digital robado, el mismo que usa Winnti para aprobar herramientas maliciosas, y verificará que la máquina de la víctima no se esté ejecutando en modo seguro.
«Luego verifica la versión del sistema operativo», dicen los investigadores. «El rootkit utiliza la Modificación directa de objetos del kernel (DKOM), que involucra estructuras y objetos del kernel no documentados, para sus operaciones. Por esta razón, se basa en compilaciones específicas del sistema operativo, de lo contrario, puede causar que la máquina infectada se bloquee».
La última compilación admitida es Windows 10 Creators Update (Redstone 2).
Los controladores se implementan para ocultar objetos maliciosos de los sistemas de seguridad existentes. El rootkit también alterará el registro para evitar que los procesos maliciosos finalicen, y se genera una devolución de llamada para disfrazar los procesos recién creados de las utilidades, incluido el Administrador de tareas.
Los investigadores recolectaron muestras de cuatro controladores, tanto de 32 bits como de 64 bits, compiladas en 2017. Las muestras fueron firmadas con certificados robados emitidos por compañías de juegos estadounidenses y coreanas.
Además, el malware puede ocultar claves de registro y conexiones de red TCP.
Luego, la puerta trasera de Milestone se instala en la máquina de destino para el robo y la persistencia de datos continuos. Los investigadores también descubrieron un cuentagotas que contenía un cargador Milestone.
«Aunque se sabe que tanto Deep Panda como Winnti usan rootkits como parte de su conjunto de herramientas, Fire Chili es una variedad novedosa con una base de código única diferente de los afiliados anteriormente a los grupos», dice FortiGuard. «La razón por la que estas herramientas están vinculadas a dos grupos diferentes no está clara en este momento. Es posible que los desarrolladores de los grupos hayan compartido recursos, como certificados robados e infraestructura C2, entre ellos».
Ver también
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0