Peretas Menipu Microsoft Untuk Menandatangani Driver Netfilter yang Dimuat Dengan Malware Rootkit

  • Whatsapp
Driver Netfilter

Microsoft pada hari Jumat mengatakan sedang menyelidiki insiden di mana driver yang ditandatangani oleh perusahaan ternyata adalah rootkit Windows berbahaya yang diamati berkomunikasi dengan server command-and-control (C2) yang berlokasi di China.

Sopir yang disebut “Filter bersih,” dikatakan menargetkan lingkungan permainan, khususnya di negara Asia Timur, dengan perusahaan yang berbasis di Redmond mencatat bahwa “tujuan aktor adalah menggunakan driver untuk menipu lokasi geografis mereka untuk menipu sistem dan bermain dari mana saja.”

Bacaan Lainnya

Tim Stack Overflow

“Malware memungkinkan mereka untuk mendapatkan keuntungan dalam permainan dan mungkin mengeksploitasi pemain lain dengan mengorbankan akun mereka melalui alat umum seperti keyloggers,” Microsoft Security Response Center (MSRC) berkata.

Penandatanganan kode nakal itu ditemukan oleh Karsten Hahn, seorang analis malware di perusahaan keamanan siber Jerman G Data, yang membagikan detil tambahan dari rootkit, termasuk a penitis, yang digunakan untuk menyebarkan dan menginstal Netfilter pada sistem.

Filter bersih

Setelah instalasi berhasil, driver ditemukan membuat koneksi dengan server C2 untuk mengambil informasi konfigurasi, yang menawarkan sejumlah fungsi seperti pengalihan IP, di antara kemampuan lain untuk menerima sertifikat root dan bahkan memperbarui sendiri malware.

Filter bersih

Itu sampel tertua Netfilter terdeteksi di VirusTotal tanggal kembali ke 17 Maret 2021, kata Hahn.

Mencegah Pelanggaran Data

Microsoft mencatat bahwa aktor tersebut mengajukan driver untuk sertifikasi melalui Program Kompatibilitas Perangkat Keras Windows (WHCP), dan bahwa driver dibuat oleh pihak ketiga. Perusahaan sejak itu menangguhkan akun dan meninjau kirimannya untuk tanda-tanda tambahan malware.

Pembuat Windows juga menekankan bahwa teknik yang digunakan dalam serangan itu terjadi pasca eksploitasi, yang mengharuskan musuh sebelumnya telah memperoleh hak administratif agar dapat menginstal driver selama startup sistem atau mengelabui pengguna agar melakukannya atas nama mereka.

Selain itu, Microsoft mengatakan bermaksud untuk menyempurnakan kebijakan akses mitranya serta proses validasi dan penandatanganannya untuk meningkatkan perlindungan lebih lanjut.

“Lanskap keamanan terus berkembang pesat saat pelaku ancaman menemukan metode baru dan inovatif untuk mendapatkan akses ke lingkungan di berbagai vektor,” kata MSRC, sekali lagi menyoroti bagaimana proses yang sah dapat dieksploitasi oleh pelaku ancaman untuk memfasilitasi perangkat lunak skala besar. serangan rantai pasokan.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *