북한 해커들, 크로미움 제로데이를 이용해 암호화폐 섹터를 공격

북한의 위협적인 행위자가 금융 이득을 위해 암호화폐 조직을 대상으로 Chromium의 제로데이 취약점을 악용하고 있다는 사실이 마이크로소프트가 오늘 발표한 보고서에 따라 밝혀졌습니다.

이 취약점은 CVE-2024-7971로 식별되며, 공격자가 손상된 시스템에서 원격 코드를 실행할 수 있게 해줍니다.

Microsoft는 이번 공격을 주로 금융 기관을 대상으로 하며, 특히 암호화폐와 관련된 기관을 겨냥하는 북한의 위협 행위자인 Citrine Sleet에게 원인을 돌렸습니다. 이 그룹은 암호화폐 분야에 대한 상세한 정찰 활동을 벌이며, 세련된 사회 공학 기법을 사용합니다.

이러한 기법에는 합법적인 암호화폐 거래 플랫폼을 흉내 내는 가짜 웹사이트를 만들어 악성 소프트웨어를 배포하는 것이 포함됩니다. 가짜 채용 신청서나 무기화된 암호화폐 지갑 등이 그 예입니다.

이 공격 체인은 크로미움 취약점을 악용하고, 악성 코드를 실행하며, FudModule 루트킷을 배포하는 것을 포함합니다. 이 루트킷은 탐지를 피할 수 있으며 공격자에게 침해된 시스템에서의 권한을 높여주는 복잡한 악성 소프트웨어입니다.

2021년 이후 사용되어 왔으며, 가장 초기의 변형은 “본인만의 취약한 드라이버를 가져오세요”라는 기법으로 알려져 있는, 취약한 드라이버를 악용하여 관리자-커널 접근 권한을 얻는 것을 이용했습니다.

FudModule 루트킷은 이전에 Diamond Sleet라는 다른 북한 위협 요인에게 준 것으로 간주되었으며, 이는 두 그룹간의 도구나 인프라 공유 가능성을 제안합니다. 이는 마이크로소프트가 보고했습니다.

위협을 완화하기 위해, 마이크로소프트는 최신 보안 패치로 시스템을 업데이트하고, 마이크로소프트 디펜더 for Endpoint의 방어 기능과 네트워크 보호 기능을 활성화하며, EDR을 블록 모드로 실행하는 것을 권장합니다. 추가로, 고객들은 의심스러운 활동에 경계하고, 보안 팀에 이상한 사건을 보고해야 합니다.

게다가, 마이크로소프트는 고객이 네트워크 내의 관련 위협을 식별하고 대응할 수 있도록 상세한 탐지 지침과 수색 쿼리를 제공합니다.