라자루스가 왕성히 활동하고 있다. 맥OS용 정보 탈취 멀웨어를 퍼트리더니 이제는 윈도 사용자들을 노리기 시작했고, 이것도 모자란지 윈도 드라이버의 제로데이 취약점을 남몰래 익스플로잇 하기 시작했다.
[보안뉴스 문가용 기자] 새로운 사이버 공격 캠페인이 발견됐다. 북한의 해킹 조직이 배후에 있는 것으로 추정되며, 이 캠페인에 사용되고 있는 멀웨어는 비버테일(BeaverTail)이라고 보안 업체 그룹IB(Group-IB)가 밝혔다. 주요 공격 대상은 구직자들이라고 한다. 북한의 해킹 조직은 이것 외에도 MS의 제로데이 취약점을 익스플로잇 하기도 했다.
[이미지 = gettyimagesbank]
비버테일이라는 멀웨어는 이번에 새롭게 발견된 공격 도구가 아니다. 이전에도 정보 탈취용으로 종종 사용되어 왔다. 자바스크립트를 기반으로 하고 있었고, 최근에는 맥OS용으로 전환된 버전도 등장했었다. 맥OS용 비버테일의 경우, 미로토크(MiroTalk)라는 영상 통화 서비스를 흉내 내기도 했다. “하지만 이번 비버테일 캠페인의 경우, 게임으로 위장된 채 멀웨어가 퍼지고 있었습니다. 윈도 사용자들을 노리면서 말이죠.” 그룹IB 측의 설명이다.
새로워진 비버테일 캠페인에서 크게 달라진 점 두 가지를 그룹IB는 다음과 같이 정리하고 있다.
1) 직전에 발견된 비버테일과 달리 윈도 환경을 노리고 있다.
2) 널리 사용되는 자바스크립트 라이브러리인 리액트JS(ReactJS)를 기반으로 구축되어 있다. 리액트JS의 경우 인기 높은 게임들에서 자주 사용하는 라이브러리이기도 하다.
그룹IB는 새롭게 바뀐 비버테일을 적극 활용하고 있는 것이 북한의 라자루스(Lazarus) 그룹일 거라고 지적하고 있기도 하다. 지난 7월에도 라자루스는 맥OS 사용자들을 대상으로 비버테일을 유포하다가 발각된 적이 있다. 이번에는 다른 플랫폼으로도 공격 범위를 확대한 것으로, 은밀히 활동하는 것보다 돈이나 정보를 더 많이 훔치는 것을 중점으로 활동하는 공격자라면 이렇게 공격 대상을 늘리는 것이 자연스럽다.
이번 캠페인의 경우 7월 후반부부터 8월 초반부 사이에 진행됐을 가능성이 높아 보인다고 한다. 이전 캠페인에 비해 차이는 있지만 공통점도 여전히 남아 있다.
1) 암호화폐 지갑과 관련된 정보를 훔쳐 불법 자금을 확보한다.
2) 각종 브라우저에 저장된 정보를 훔쳐 추가 범행을 이어간다.
라자루스의 또 다른 행각
라자루스는 제로데이 취약점을 익스플로잇 하기도 했다. CVE-2024-38193으로, CVSS 기준 7.8점을 기록한 고위험군 취약점이다. 윈도 내 AFD.sys라는 드라이버에서 발견됐으며, 취약점 익스플로잇에 성공했을 경우 권한 상승이 가능하게 된다. MS는 8월 정기 패치를 통해 이 문제를 해결했으나, 이미 라자루스와 같은 해커들이 익스플로잇을 하고 난 뒤였다.
이 취약점을 익스플로잇 한 라자루스는 곧바로 System 레벨의 권한을 얻어가는 데 성공했으며, 거기서부터 추가 공격을 실시한 것으로 보인다. 라자루스의 이러한 행적을 제일 먼저 발견한 건 보안 업체 젠디지탈(Gen Digital)이다. 공격자들은 이 취약점을 통해 민감한 정보가 저장되어 있는 곳으로 찾아 들어간 것으로 보인다고 젠디지털은 공개했다. 그러면서 “이렇게 얻어낸 정보는 다크웹에서 수십만 달러에도 거래될 수 있다”고 경고했다.
패치를 진행한 MS에서도 보안 권고문을 내며 라자루스의 이러한 공격 행위에 대해 알렸다. “공격자들은 이 취약점을 익스플로잇 함으로써 일반적인 보안 장치들을 우회하는 데 성공했으며, 민감한 시스템 영역에 도달하기까지 했습니다. 이 시스템 영역은 대부분의 사용자들과 관리자들조차도 도달할 수 없는 곳으로, 공격자들이 매우 높은 기술력을 가지고 있다는 것을 보여줍니다.”
다만 아직까지 이 제로데이 취약점 익스플로잇과 관련된 세부 기술 내용은 공개되지 않고 있다. 퍼드모듈(FudModule)이라는 룻키트가 활용되었다는 것 정도만 여러 매체들을 통해 알려지고 있다. 퍼드모듈은 지난 2월 라자루스의 또 다른 윈도 제로데이 익스플로잇 공격에도 등장한 적이 있는 공격 도구다. 당시 익스플로잇 됐던 취약점은 CVE-2024-21338로, appid.sys라는 드라이버에서 발견된 제로데이 취약점을 통한 공격을 시도할 때 활용됐었다.
당시(2월)의 제로데이 공격을 발견한 어베스트(Avast)는 “퍼드모듈과 라자루스 간의 관계성은 그렇게까지 짙지 않다”고 발표했었다. 퍼드모듈을 사용한 흔적이 있다고 해서 곧바로 라자루스로 연결지을 수는 없다는 뜻이다. “라자루스는 퍼드모듈을 조심스럽게 사용하는 편입니다. 항상 사용하는 그런 무기는 아닌 것으로 보입니다.”
하지만 이번 공격에 다시 퍼드모듈이 사용됐다는 건, 라자루스가 퍼드모듈에 조금 더 친숙해지고 있다는 뜻이 될 수도 있어 보인다.
3줄 요약
1. 북한의 라자루스, 비버테일이라는 멀웨어를 유포하는 캠페인 실시.
2. 여기에 더해 지난 2월에 이어 다시 한 번 윈도 드라이버의 제로데이도 익스플로잇.
3. 대부분 암호화폐 크리덴셜 등 민감한 정보를 탈취하는 공격이었음.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 새로운 사이버 공격 캠페인이 발견됐다. 북한의 해킹 조직이 배후에 있는 것으로 추정되며, 이 캠페인에 사용되고 있는 멀웨어는 비버테일(BeaverTail)이라고 보안 업체 그룹IB(Group-IB)가 밝혔다. 주요 공격 대상은 구직자들이라고 한다. 북한의 해킹 조직은 이것 외에도 MS의 제로데이 취약점을 익스플로잇 하기도 했다.
[이미지 = gettyimagesbank]
비버테일이라는 멀웨어는 이번에 새롭게 발견된 공격 도구가 아니다. 이전에도 정보 탈취용으로 종종 사용되어 왔다. 자바스크립트를 기반으로 하고 있었고, 최근에는 맥OS용으로 전환된 버전도 등장했었다. 맥OS용 비버테일의 경우, 미로토크(MiroTalk)라는 영상 통화 서비스를 흉내 내기도 했다. “하지만 이번 비버테일 캠페인의 경우, 게임으로 위장된 채 멀웨어가 퍼지고 있었습니다. 윈도 사용자들을 노리면서 말이죠.” 그룹IB 측의 설명이다.
새로워진 비버테일 캠페인에서 크게 달라진 점 두 가지를 그룹IB는 다음과 같이 정리하고 있다.
1) 직전에 발견된 비버테일과 달리 윈도 환경을 노리고 있다.
2) 널리 사용되는 자바스크립트 라이브러리인 리액트JS(ReactJS)를 기반으로 구축되어 있다. 리액트JS의 경우 인기 높은 게임들에서 자주 사용하는 라이브러리이기도 하다.
그룹IB는 새롭게 바뀐 비버테일을 적극 활용하고 있는 것이 북한의 라자루스(Lazarus) 그룹일 거라고 지적하고 있기도 하다. 지난 7월에도 라자루스는 맥OS 사용자들을 대상으로 비버테일을 유포하다가 발각된 적이 있다. 이번에는 다른 플랫폼으로도 공격 범위를 확대한 것으로, 은밀히 활동하는 것보다 돈이나 정보를 더 많이 훔치는 것을 중점으로 활동하는 공격자라면 이렇게 공격 대상을 늘리는 것이 자연스럽다.
이번 캠페인의 경우 7월 후반부부터 8월 초반부 사이에 진행됐을 가능성이 높아 보인다고 한다. 이전 캠페인에 비해 차이는 있지만 공통점도 여전히 남아 있다.
1) 암호화폐 지갑과 관련된 정보를 훔쳐 불법 자금을 확보한다.
2) 각종 브라우저에 저장된 정보를 훔쳐 추가 범행을 이어간다.
라자루스의 또 다른 행각
라자루스는 제로데이 취약점을 익스플로잇 하기도 했다. CVE-2024-38193으로, CVSS 기준 7.8점을 기록한 고위험군 취약점이다. 윈도 내 AFD.sys라는 드라이버에서 발견됐으며, 취약점 익스플로잇에 성공했을 경우 권한 상승이 가능하게 된다. MS는 8월 정기 패치를 통해 이 문제를 해결했으나, 이미 라자루스와 같은 해커들이 익스플로잇을 하고 난 뒤였다.
이 취약점을 익스플로잇 한 라자루스는 곧바로 System 레벨의 권한을 얻어가는 데 성공했으며, 거기서부터 추가 공격을 실시한 것으로 보인다. 라자루스의 이러한 행적을 제일 먼저 발견한 건 보안 업체 젠디지탈(Gen Digital)이다. 공격자들은 이 취약점을 통해 민감한 정보가 저장되어 있는 곳으로 찾아 들어간 것으로 보인다고 젠디지털은 공개했다. 그러면서 “이렇게 얻어낸 정보는 다크웹에서 수십만 달러에도 거래될 수 있다”고 경고했다.
패치를 진행한 MS에서도 보안 권고문을 내며 라자루스의 이러한 공격 행위에 대해 알렸다. “공격자들은 이 취약점을 익스플로잇 함으로써 일반적인 보안 장치들을 우회하는 데 성공했으며, 민감한 시스템 영역에 도달하기까지 했습니다. 이 시스템 영역은 대부분의 사용자들과 관리자들조차도 도달할 수 없는 곳으로, 공격자들이 매우 높은 기술력을 가지고 있다는 것을 보여줍니다.”
다만 아직까지 이 제로데이 취약점 익스플로잇과 관련된 세부 기술 내용은 공개되지 않고 있다. 퍼드모듈(FudModule)이라는 룻키트가 활용되었다는 것 정도만 여러 매체들을 통해 알려지고 있다. 퍼드모듈은 지난 2월 라자루스의 또 다른 윈도 제로데이 익스플로잇 공격에도 등장한 적이 있는 공격 도구다. 당시 익스플로잇 됐던 취약점은 CVE-2024-21338로, appid.sys라는 드라이버에서 발견된 제로데이 취약점을 통한 공격을 시도할 때 활용됐었다.
당시(2월)의 제로데이 공격을 발견한 어베스트(Avast)는 “퍼드모듈과 라자루스 간의 관계성은 그렇게까지 짙지 않다”고 발표했었다. 퍼드모듈을 사용한 흔적이 있다고 해서 곧바로 라자루스로 연결지을 수는 없다는 뜻이다. “라자루스는 퍼드모듈을 조심스럽게 사용하는 편입니다. 항상 사용하는 그런 무기는 아닌 것으로 보입니다.”
하지만 이번 공격에 다시 퍼드모듈이 사용됐다는 건, 라자루스가 퍼드모듈에 조금 더 친숙해지고 있다는 뜻이 될 수도 있어 보인다.
3줄 요약
1. 북한의 라자루스, 비버테일이라는 멀웨어를 유포하는 캠페인 실시.
2. 여기에 더해 지난 2월에 이어 다시 한 번 윈도 드라이버의 제로데이도 익스플로잇.
3. 대부분 암호화폐 크리덴셜 등 민감한 정보를 탈취하는 공격이었음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
