북한 해커, 크롬 제로데이 취약점 악용

북한 해커 그룹이 크롬 웹 브라우저와 같은 크로미움 기반 엔진에서 제로데이 취약점을 악용해 사용자들을 감염시키고 있다.

31일(현지시간) 코인텔레그래프에 따르면 마이크로소프트의 사이버 보안 연구원들은 '시트린 슬리트(Citrine Sleet)'로 불리는 북한 해커 그룹이 크로미움 엔진에서 제로데이 취약점을 악용한 사실을 발견했다. 이 취약점은 8월 21일에 패치되었으므로, 사용자는 브라우저를 즉시 업데이트해야 한다.

마이크로소프트는 시트린 슬리트를 '중간 수준의 확신'으로 식별했다. 이 그룹은 암호화폐 분야를 주요 표적으로 삼으며, 애플제우스(AppleJeus) 트로이 목마를 개발한 것으로 알려져 있다. 이 악성 소프트웨어는 라자루스(Lazarus) 그룹이 사용하기도 했다.

마이크로소프트는 표적이 된 고객과 침해된 고객들에게 알렸지만, 몇 명이 영향을 받았는지는 공개하지 않았다. 이번 취약점은 올해 들어 크로미움에서 패치된 세 번째 제로데이 취약점이다. 크로미움 엔진의 소유자인 구글은 취약점 보고 이틀 만에 이를 패치했다.

해커들은 원격 코드 실행을 위해 FudModule 루트킷 악성 소프트웨어를 사용했으며, 이는 정교한 사회 공학적 기법을 통해 이루어졌다. 해커들은 합법적인 암호화폐 거래 플랫폼으로 위장한 가짜 웹사이트를 만들어 가짜 구직 신청서를 배포하거나, 표적이 합법적인 애플리케이션을 기반으로 한 악성 암호화폐 지갑 또는 거래 애플리케이션을 다운로드하도록 유도했다. 이후 애플제우스를 설치해 표적의 암호화폐 자산을 탈취하는 데 필요한 정보를 수집했다.

시트린 슬리트는 2022년 12월 처음 발견되었으며, 당시 마이크로소프트는 이 그룹을 'DEV-0139'로 명명했다. 이들은 텔레그램에서 OKX 암호화폐 거래소 직원으로 가장해 가짜 신원을 만들어내었고, 표적에게 다양한 거래소의 수수료 구조에 대한 정확한 정보를 포함한 엑셀 문서를 평가하도록 요청했다. 그러나 이 문서에는 표적의 컴퓨터에 백도어를 생성하는 악성 파일도 포함되어 있었다.

또한, 다른 조사자들은 시트린 슬리트를 '초리마(Chollima)'로도 부르고 있으며, 카스퍼스키 랩(Kaspersky Labs)은 이 그룹이 3CX 소프트폰 앱을 감염시켜 암호화폐 투자 스타트업을 공격하는 애플제우스를 사용했다고 밝혔다.

뉴스 속보를 실시간으로...토큰포스트 텔레그램 가기