라자루스 해커들이 구글 크롬 취약점을 악용하여 기기를 감염시켰습니다

카스퍼스키의 글로벌 연구 및 분석 팀(GReAT)은 수요일 악명 높은 북한 라자루스 고급 지속 위협(APT) 그룹이 이제 패치된 구글 크롬 제로데이 취약점을 가짜 분산 금융(DeFi) 게임을 통해 악용하여 스파이웨어를 설치하고 지갑 자격 증명을 도용했다고 밝혔습니다.

2024년 5월 13일, 카스퍼스키 전문가들은 2024년 2월에 시작된 악성 캠페인을 발견했으며, 이는 러시아의 한 고객 컴퓨터에서 새로운 변종의 “마누스크립트” 백도어 악성코드를 확인한 후 시작되었습니다.

라자루스는 최소 2013년부터 마누스크립트 악성코드를 사용해 왔으며, 다양한 산업을 대상으로 한 50개 이상의 독특한 캠페인에서 사용되었습니다.

카스퍼스키가 발견한 정교한 악성 캠페인은 사회 공학 기법과 생성 AI에 크게 의존하여 암호화폐 투자자를 겨냥했습니다.

카스퍼스키 연구원들은 위협 행위자가 두 가지 취약점을 악용했으며, 그 중 하나는 CVE-2024-4947로 추적되는 구글 크롬의 V8 브라우저 엔진에서 발견된 이전에 알려지지 않은 제로데이 버그로, 원격 공격자가 조작된 HTML 페이지를 통해 샌드박스 내에서 임의 코드를 실행할 수 있게 해주었습니다.

이 취약점은 카스퍼스키가 이 결함을 회사에 보고한 후 2024년 5월 25일 구글에 의해 Chrome 버전 125.0.6422.60/.61로 수정되었습니다.

또한 두 번째 취약점은 공격자가 구글 크롬의 V8 샌드박스 보호를 우회할 수 있게 해주었습니다. 구글은 2024년 3월에 샌드박스 우회 취약점을 패치했습니다.

그들의 캠페인에서 위협 행위자들은 “detankzone[.]com” 웹사이트에서 유래한 구글 크롬 웹 브라우저를 악용했습니다.

“표면적으로 이 웹사이트는 분산 금융(DeFi) NFT 기반(대체 불가능한 토큰) 다중 사용자 온라인 전투 아레나(MOBA) 탱크 게임을 위한 전문적으로 디자인된 제품 페이지처럼 보였으며, 사용자에게 체험판 다운로드를 초대했습니다.”라고 카스퍼스키 연구원 보리스 라린과 바실리 베르드니코프가 말했습니다.

“하지만 그것은 단지 위장일 뿐이었습니다. 이 웹사이트의 내부에는 사용자의 구글 크롬 브라우저에서 실행되는 숨겨진 스크립트가 있었으며, 제로데이 익스플로잇을 시작하고 공격자에게 피해자의 PC에 대한 완전한 제어권을 부여했습니다. 웹사이트를 방문하는 것만으로 감염되었으며, 게임은 단지 주의 분산이었습니다.”

카스퍼스키는 공격자들이 합법적인 NFT 게임인 DeFiTankLand(DFTL)를 가짜 게임의 프로토타입으로 사용했으며, 그 디자인을 원본과 매우 유사하게 유지했다고 발견했습니다. 환상을 매끄럽게 유지하기 위해 가짜 게임은 도난당한 소스 코드를 사용하여 개발되었으나, 로고와 참조는 원본 버전에서 변경되었습니다.

연구원들은 또한 공격자들이 암호화폐 분야의 영향력 있는 인물들에게 연락하여 그들의 악성 웹사이트를 홍보하도록 했으며, 그들의 암호화폐 지갑도 손상되었을 가능성이 있다고 덧붙였습니다.

2024년 2월 20일, 공격자들은 캠페인을 시작하고 X에서 탱크 게임을 광고하기 시작했으며, 그 후 DeFiTankLand의 개발자 지갑에서 $20,000 상당의 DFTL2 코인이 도난당했습니다.

프로젝트 개발자들은 침해의 책임을 내부자에게 돌렸지만, 카스퍼스키는 라자루스 그룹이 공격의 배후에 있다고 믿고 있습니다.

“우리는 APT 행위자들이 재정적 이익을 추구하는 것을 이전에 보았지만, 이 캠페인은 독특했습니다. 공격자들은 구글 크롬 제로데이를 악용하고 목표 시스템을 감염시키기 위해 완전한 기능을 갖춘 게임을 덮개로 사용하는 전형적인 전술을 넘어섰습니다. 라자루스와 같은 악명 높은 행위자들과 함께, 소셜 네트워크나 이메일에서 링크를 클릭하는 것과 같은 겉보기에 무해한 행동조차 개인 컴퓨터나 전체 기업 네트워크의 완전한 손상으로 이어질 수 있습니다. 이 캠페인에 투자된 상당한 노력은 그들이 야심찬 계획을 가지고 있었음을 시사하며, 실제 영향은 훨씬 더 광범위할 수 있으며, 전 세계 사용자와 기업에 영향을 미칠 수 있습니다.”라고 라린이 언급했습니다.