2022년의 두 번째 UEFI 펌웨어 룻키트 코스믹스트랜드…중국 해커 배후에 있어
요약 : 보안 외신 해커뉴스에 의하면 보안 업체 카스퍼스키(Kaspersky)가 새로운 UEFI 펌웨어 룻키트를 발견했다고 한다. 이 룻키트의 이름은 코스믹스트랜드(CosmicStrand)이고, 기가바이트(Gigabyte)와 에이서스(ASUS) 머더보드들의 펌웨어 이미지들을 공략하는 기능을 가지고 있다고 분석됐다. 두 회사의 머더보드들 사이에 공통의 취약점이 있는 것이 분명해 보인다고 카스퍼스키는 추정하고 있다. 코스믹스트랜드는 96.85KB의 작은 용량을 자랑하며, 정보 수집을 위한 공격 캠페인에 활용될 수 있다고 한다.
![[보안뉴스 / 7.26.] 중국 해커들이 사용하는 새로운 UEFI 펌웨어 룻키트 발견돼](http://www.boannews.com/media/upFiles2/2022/07/917263246_5805.jpg)
[이미지 = utoimage]
배경 : 지난 1월에도 UEFI 펌웨어 룻키트인 문바운스(MoonBounce)가 발견된 바 있다. 이 공격의 배후에는 중국의 APT 단체인 윈티(Winnti)가 있는 것으로 알려져 있다. 코스믹스트랜드는 올해 발견된 두 번째 UEFI 펌웨어 룻키트다. UEFI 펌웨어를 감염시키면 피해자가 OS를 새로 설치해도 공격을 이어갈 수 있게 된다.
말말말 : “이번 코스믹스트랜드 캠페인의 피해자는 중국, 베트남, 이란, 러시아에서 발견되고 있습니다만, 그들 사이에 특이한 관련성이나 공통점이 발견되고 있지는 않습니다. 오히려 문바운스와 코스믹스트랜드 사이에 유사성이 발견되고 있습니다.” -카스퍼스키-
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 7.26.] 중국 해커들이 사용하는 새로운 UEFI 펌웨어 룻키트 발견돼](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
