최신 보안 동향

Microsoft 서명이 포함된 Netfilter에서 루트킷 악성코드 발견

알 수 없는 사용자 2021. 6. 28. 16:33

G Data 악성코드 분석가인 Karsten Hahn”에 의해 루트킷 악성코드가 포함된 Netfilter 드라이버가 발견됐다.

 

해당 드라이버는 주로 게임 커뮤니티를 통해 유포되었으며, Microsoft의 서명이 포함된 파일로 확인됐다.

 

MS측의 발표 내용에 따르면 중국 IP를 사용하는 C&C 서버와 통신하는 것으로 밝혀졌으며 해당 서버는 미국 국방부가 Community Chinese Military 라고 표기한 사이버 공격 그룹에 속하는 것으로 알려졌다.

 

MS는 드라이버 제조 업체인 Ningbo Zhuo Zhi Innovation Network Technology”와 협력하여 관련 내용을 패치 했으며 Windows Update를 통해 악성코드가 포함되지 않은 드라이버를 얻을 수 있다고 발표했다.

 

사진 출처 : https://twitter.com/struppigel/status/1405483373280235520

 

출처

[1] Microsoft 보안 대응 센터 (2021.06.28)

https://msrc-blog.microsoft.com/2021/06/25/investigating-and-mitigating-malicious-drivers/

[2] Karsten Hahn’s Tweeter (2021.06.28)

https://twitter.com/struppigel/status/1405483373280235520

[3] GDATA (2021.06.28) – Microsoft signed a malicious Netfilter rootkit

https://www.gdatasoftware.com/blog/microsoft-signed-a-malicious-netfilter-rootkit