中国黑客组织Deep Panda正在利用Log4Shell漏洞瞄准VMware Horizon服务器，部署一个名为 “Fire Chili “的新型rootkit。

该rootkit使用Frostburn Studios（游戏开发商）的证书或Comodo（安全软件）的证书进行数字签名，以躲避杀毒工具的检测。

追踪Deep Panda最近活动的Fortinet的分析师认为，这些证书是从上述软件开发商那里获得。

Fire Chili rootkit

在Fortinet最近发现的一个Deep Panda活动中，黑客组织正在部署新的’Fire Chili’rootkit，以躲避被攻击系统的检测。

rootkit是通常作为驱动程序安装的恶意软件，它勾住各种Windows APIs，以隐藏操作系统中其他文件和配置设置的存在。例如，通过钩住Windows编程功能，rootkit可以过滤数据，不向请求数据的Windows程序显示恶意的文件名、进程和注册表键的API。

在攻击中，rootkit由有效的数字证书签署，允许它绕过安全软件的检测，在没有任何警告的情况下加载到Windows。

启动后，Fire Chili会进行基本的系统测试，以确保它不是在模拟环境中运行，并检查操作过程中要滥用的内核结构和对象是否存在。

Fortinet报告说，Fire Chili最近支持的操作系统版本是Windows 10 Creators Update，于2017年4月发布。

rootkit的目标是使文件操作、进程、注册表键添加和恶意网络连接不被用户和任何可能在被攻击机器上运行的安全软件发现。

为了实现这种隐藏功能，该恶意软件使用了IOCTL（输入/输出控制系统调用），它预先填充了恶意工件，并可以动态地进行配置。

例如，为了从netstat中隐藏恶意的TCP连接，rootkit拦截对设备堆栈的常规IOCTL调用，检索完整的网络连接列表，过滤掉自己的连接，最后返回一个经过处理的结构。

Winnti overlaps

在调查最新的Deep Panda活动时，Fortinet发现与Winnti有几处重叠，后者是另一个中国黑客组织，以使用数字签名证书而闻名。

另外，Winnti以持续针对游戏公司而闻名，所以他们可能在他们的一次成功活动中窃取了这些证书。

“这些工具与两个不同的团体有关的原因目前还不清楚。有可能是这些团体的开发者相互分享了资源，如被盗的证书和C2基础设施。这可能解释了为什么这些样本在被编译几个小时后才被签署”。- Fortinet
参考链接：https://www.fortinet.com/blog/threat-research/deep-panda-log4shell-fire-chili-rootkits

Via bleepingcomputer