북한의 라자루스가 소셜미디어에서 게임 하나를 공들여 광고하고 있다. 그러면서 피해자들의 컴퓨터에 멀웨어를 퍼트리는 중이다. 소셜미디어에 돌아다니는 온라인 게임 광고도 조심해야 한다.
[보안뉴스 문정후 기자] 북한의 해커들이 이번에는 온라인 게임을 미끼로 삼아 사람들을 속여 악성코드를 유포하고 있다. 보안 업체 카스퍼스키(Kaspersky)가 발견해 알린 것으로, 이 캠페인의 배후에 있는 것은 라자루스(Lazarus)와 그 하위 그룹인 블루노로프(BlueNoroff)라고 한다. 이 캠페인을 통해 매뉴스크립트(Manuscrypt)라는 백도어가 퍼지고 있는 것으로 보아 북한 해커들이 다시 한 번 정보 수집에 집중하고 있는 것으로 여겨진다. 현재 이들이 노리는 건 정부, 금융, IT, 국방, 도박, 언론, 대학 등 다양하다.
[이미지 = gettyimagesbank]
라자루스와 블루노로프는 캠페인을 위해 먼저 웹사이트를 개발했다고 카스퍼스키는 보고서를 통해 공개했다. “이 사이트는 타입스크립트(TypeScript)와 리액스(React)로 개발됐는데, 사이트를 구성하는 파일 중 하나에서 크롬의 취약점을 익스플로잇 하는 코드가 발견됐습니다. 여기에 연루된 크롬 취약점은 총 두 개로, 하나는 크롬 프로세스 메모리에서 읽기와 쓰기를 할 수 있게 해 주는 것이며 다른 하나는 V8 샌드박스를 우회하게 해 주는 것입니다.”
취약점 두 개
첫 번째 취약점의 관리 번호는 CVE-2024-4947이다. “구글은 2023년 4분기에 크롬 117을 발표했는데요, 이 때 새로운 컴파일러가 같이 공개됐습니다. 이 컴파일러는 Maglev라고 하는데, 이전 컴파일러에 비해 양질의 코드를 빠르게 생성해내는 기능을 가지고 있습니다. 하지만 북한의 해커들은 여기서 새로운 취약점을 찾아냈고, 그것이 바로 CVE-2024-4947입니다.”
익스플로잇의 원리에 대해 카스퍼스키는 다음과 같이 설명한다. “특정 상황에서 컴파일링 진행 중 오류가 나며, 이는 예외로 처리됩니다. 그런데 이것이 여러 번 반복되면 예외 처리가 진행되지 않습니다. 그러면서 오류를 일으킨 속성이 검사 없이 그냥 넘어가게 되는데, 이 때문에 발생하는 문제가 CVE-2024-4947입니다. 이를 통해 공격자는 크롬 프로세스 전체 주소 공간에서 읽기와 쓰기를 할 수 있게 됩니다.”
두 번째 취약점의 관리 번호는 없다. V8이라는 크롬의 샌드박스를 우회하게 해 주는 것으로, 카스퍼스키는 “기존의 다양한 가상기계에서 발견됐던 샌드박스 우회 취약점들과 유사하다”고 설명한다. “특정 요소를 검사하는 과정이 부실하거나 부재할 때 공격자들은 샌드박스의 경계에서 벗어난 메모리 공간에 접근할 수 있게 되는데, 이번에도 공격자들은 그 원리를 이용했습니다.”
첫 번째 취약점은 제로데이로, 라자루스와 블루노로프가 제일 먼저 발견해 익스플로잇 한 것으로 보인다. 하지만 두 번째 취약점은 올해 3월에 알려졌고, 곧바로 패치되기도 했다. 따라서 북한 해커들이 먼저 발견해 제로데이로서 익스플로잇을 했는데, 그것이 중복 보고된 것인지, 보고가 먼저 이뤄진 것을 북한 공격자들이 활용한 것인지는 정확히 알 수 없다고 한다.
크롬 프로세스에서 읽고 쓰기도 하고 탈출까지 하게 된 공격자들은, 새로운 취약점을 통해 공격을 이어가야 한다. 즉 위 두 개의 취약점으로는 ‘접근’까지 성공해도 실제 목적을 달성하기는 힘들다는 것이다. “추가로 취약점이 필요합니다. 이럴 때 실력 좋은 공격자들은 흔히 셸코드를 실행합니다. 그래서 더 많은 정보를 얻어내고, 이 정보를 바탕으로 다음 공격을 기획하죠. 그러면서 어떤 취약점을 익스플로잇 할 것인지가 결정되는데, 이번 캠페인에서는 공격자들이 추가 익스플로잇과 관련된 정보들을 저장하고 있지 않았습니다.”
놀라운 소셜엔지니어링
크롬의 제로데이 취약점을 익스플로잇 했다는 것보다 카스퍼스키 연구원들을 더 놀라게 한 건 라자루스가 소셜엔지니어링에 대단히 많은 노력을 기울였다는 것이었다. “공격자들은 수개월 동안 소셜미디어 활동을 진행했습니다. 자신들의 미끼인 게임을 소셜미디어에 꾸준히 올렸는데, 그 광고를 위한 콘텐츠도 항상 새롭게 만들곤 했습니다. 진짜 게임이 존재하는 것처럼 느껴질 수밖에 없었습니다.”
심지어 그냥 게시글만 주구장창 올린다거나, 광고를 노출시키는 것만 한 것도 아니었다. “암호화폐 분야에서 나름 잘 알려진 인물들과 접촉하여 광고비를 주고 광고를 의뢰하기도 했습니다. 물론 광고 의뢰를 하는 척 하면서 그런 사람들이나 단체들을 감염시키려고 하기도 했습니다. 엑스에서 주로 활동했지만, 링크드인 프리미엄 계정도 활용했고 이메일로 스피어피싱도 진행했습니다. 이들의 가짜 웹사이트 자체가 대단히 전문적으로 제작되었기 때문에 이런 전략들이 나쁘지 않은 효과를 거뒀을 것으로 추정됩니다.”
이들의 소셜 활동에 속아 게임 사이트에 접속하면 무슨 일이 벌어질까? 당연히 게임 클라이언트를 다운로드 하라는 내용이 나오는데, 이를 수락하면 400MB의 압축파일이 하나 다운로드 되기 시작한다고 카스퍼스키 측은 설명한다. “detankzone.zip이라는 파일입니다. 열어보니 진짜 게임이 구현되는 파일들이 존재했습니다. 게임 로고, 사용자 인터페이스, 3D 모델링 등의 자원들도 확인이 됐고요.”
그래서 게임을 실행했는데, 제일 먼저는 전형적인 온라인 게임의 시작 메뉴가 화면에 떴다. 로그인을 해야 한다는 내용의 창이었다. 계정이 없다면 새로운 ID와 비밀번호로 계정을 만들어야 한다는 안내도 있었다. 여기까지는 여느 온라인 게임과 대동소이했다. “하지만 등록도 되지 않고, 로그인도 되지 않았습니다. 다음 단계로 넘어갈 수가 없었습니다. 그래서 게임 코드를 리버스 엔지니어링 했는데, 분명히 400MB의 파일 안에는 실제 게임과 관련된 콘텐츠들이 존재했습니다. 게임 서버 주소도 하드코딩 되어 있었는데, 그 서버는 작동하지 않았습니다.”
카스퍼스키는 그래서 게임 서버를 직접 개발했고, 결국 실제 게임을 플레이할 수 있었다고 한다. “이들이 미끼로 사용한 게임은 실제로 존재하는 게임이었습니다. 물론 조악한 게임이었고, 기존 다른 게임들의 많은 요소들을 차용한, 흔한 작품이었습니다만 어느 정도 재미있게 플레이가 가능한 실제 게임이었습니다. 라자루스가 게임까지 개발할 줄 아는 것일까 싶어서 꽤나 놀랐습니다.”
게임
하지만 아니었다. 게임의 원저작자는 따로 있었다. 추적과 검색을 통해 카스퍼스키는 라자루스가 퍼트리고 있는 가짜 게임의 오리지널 버전을 찾아낼 수 있었다고 한다. “원래 게임의 이름은 디파이탱크랜드(DeFiTankLand)였습니다. 라자루스가 개발자로부터 소스코드를 탈취한 것으로 보이며, 자신들의 입맛에 맞게 게임을 수정한 뒤 미끼로 사용했을 것이라고 저희는 결론을 내리고 있습니다.”
디파이탱크랜드는 디파이(DeFi)라는 이름이 나타내듯 블록체인 및 암호화폐 생태계를 기반으로 하고 있다. 디파이탱크랜드 개발사는 DFTL2라는 코인을 만들어 거래하기도 했다. “2024년 3월 2일 이 DFTL2 코인의 가격이 급락한 적이 있습니다. 알고 보니 DFTL2 개발자들의 콜드월렛이 해킹 공격에 당했던 게 그 이유였습니다. 당시 개발자들은 약 2만 달러의 DFTL2 코인을 잃었다고 합니다. 재미있는 건 그 사건이 벌어지기 2주 전인 2월 20일, 공격자들이 엑스에서 자신들의 게임을 광고하기 시작했다는 겁니다.”
아직 명확한 증거는 없지만 카스퍼스키는 이 암호화폐 도난 사건도 라자루스의 소행인 것으로 추정하고 있다. “라자루스가 게임의 소스코드를 탈취하면서 코인도 같이 훔쳤을 거라고 봅니다. 즉 일석이조의 효과를 거둔 것입니다. 코인도 얻고, 악성 캠페인을 벌일 자료도 얻은 것이죠.” 하지만 DFTL2 개발사 측에서는 내부자의 소행이라고 사건을 정리했었다. 구체적인 내용은 공개되지 않은 채였다.
카스퍼스키는 “라자루스는 가장 정교한 기술력을 갖춘 APT 그룹 중 하나인데 활발하기까지 하다”고 경고한다. “그리고 돈을 노리는 공격을 자주 실행합니다. 이미 지난 수년 동안 암호화폐 산업을 겨냥한 공격을 다수 성공시키기도 했었죠. 이들은 앞으로도 세계 곳곳의 금고를 노릴 것입니다. 그러면서 스스로를 진화시키고 발전시키겠죠.”
현재까지 발견된 라자루스의 주된 특징 중 하나는 제로데이 취약점을 익스플로잇 하는 것이라고 카스퍼스키는 지적한다. “그렇기 때문에 이들이 어떤 소프트웨어의 어떤 취약점을 익스플로잇 할 지 예측하는 건 어려운 일이 됩니다. 다만 이들은 소셜엔지니어링 기법을 적극 활용하는 편인데, 따라서 이런 측면에서의 교육과 훈련을 이뤄간다면 어느 정도 효과를 거둘 수 있을 겁니다.”
3줄 요약
1. 북한의 라자루스, 소셜미디어에서 게임 광고하며 피해자들 양산 중.
2. 실제 게임의 소스코드 훔친 후 자신들의 입맛에 맞게 개조하여 활용 중.
3. 구글 크롬 브라우저의 제로데이 취약점 익스플로잇 하는 중.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 북한의 해커들이 이번에는 온라인 게임을 미끼로 삼아 사람들을 속여 악성코드를 유포하고 있다. 보안 업체 카스퍼스키(Kaspersky)가 발견해 알린 것으로, 이 캠페인의 배후에 있는 것은 라자루스(Lazarus)와 그 하위 그룹인 블루노로프(BlueNoroff)라고 한다. 이 캠페인을 통해 매뉴스크립트(Manuscrypt)라는 백도어가 퍼지고 있는 것으로 보아 북한 해커들이 다시 한 번 정보 수집에 집중하고 있는 것으로 여겨진다. 현재 이들이 노리는 건 정부, 금융, IT, 국방, 도박, 언론, 대학 등 다양하다.
[이미지 = gettyimagesbank]
라자루스와 블루노로프는 캠페인을 위해 먼저 웹사이트를 개발했다고 카스퍼스키는 보고서를 통해 공개했다. “이 사이트는 타입스크립트(TypeScript)와 리액스(React)로 개발됐는데, 사이트를 구성하는 파일 중 하나에서 크롬의 취약점을 익스플로잇 하는 코드가 발견됐습니다. 여기에 연루된 크롬 취약점은 총 두 개로, 하나는 크롬 프로세스 메모리에서 읽기와 쓰기를 할 수 있게 해 주는 것이며 다른 하나는 V8 샌드박스를 우회하게 해 주는 것입니다.”
취약점 두 개
첫 번째 취약점의 관리 번호는 CVE-2024-4947이다. “구글은 2023년 4분기에 크롬 117을 발표했는데요, 이 때 새로운 컴파일러가 같이 공개됐습니다. 이 컴파일러는 Maglev라고 하는데, 이전 컴파일러에 비해 양질의 코드를 빠르게 생성해내는 기능을 가지고 있습니다. 하지만 북한의 해커들은 여기서 새로운 취약점을 찾아냈고, 그것이 바로 CVE-2024-4947입니다.”
익스플로잇의 원리에 대해 카스퍼스키는 다음과 같이 설명한다. “특정 상황에서 컴파일링 진행 중 오류가 나며, 이는 예외로 처리됩니다. 그런데 이것이 여러 번 반복되면 예외 처리가 진행되지 않습니다. 그러면서 오류를 일으킨 속성이 검사 없이 그냥 넘어가게 되는데, 이 때문에 발생하는 문제가 CVE-2024-4947입니다. 이를 통해 공격자는 크롬 프로세스 전체 주소 공간에서 읽기와 쓰기를 할 수 있게 됩니다.”
두 번째 취약점의 관리 번호는 없다. V8이라는 크롬의 샌드박스를 우회하게 해 주는 것으로, 카스퍼스키는 “기존의 다양한 가상기계에서 발견됐던 샌드박스 우회 취약점들과 유사하다”고 설명한다. “특정 요소를 검사하는 과정이 부실하거나 부재할 때 공격자들은 샌드박스의 경계에서 벗어난 메모리 공간에 접근할 수 있게 되는데, 이번에도 공격자들은 그 원리를 이용했습니다.”
첫 번째 취약점은 제로데이로, 라자루스와 블루노로프가 제일 먼저 발견해 익스플로잇 한 것으로 보인다. 하지만 두 번째 취약점은 올해 3월에 알려졌고, 곧바로 패치되기도 했다. 따라서 북한 해커들이 먼저 발견해 제로데이로서 익스플로잇을 했는데, 그것이 중복 보고된 것인지, 보고가 먼저 이뤄진 것을 북한 공격자들이 활용한 것인지는 정확히 알 수 없다고 한다.
크롬 프로세스에서 읽고 쓰기도 하고 탈출까지 하게 된 공격자들은, 새로운 취약점을 통해 공격을 이어가야 한다. 즉 위 두 개의 취약점으로는 ‘접근’까지 성공해도 실제 목적을 달성하기는 힘들다는 것이다. “추가로 취약점이 필요합니다. 이럴 때 실력 좋은 공격자들은 흔히 셸코드를 실행합니다. 그래서 더 많은 정보를 얻어내고, 이 정보를 바탕으로 다음 공격을 기획하죠. 그러면서 어떤 취약점을 익스플로잇 할 것인지가 결정되는데, 이번 캠페인에서는 공격자들이 추가 익스플로잇과 관련된 정보들을 저장하고 있지 않았습니다.”
놀라운 소셜엔지니어링
크롬의 제로데이 취약점을 익스플로잇 했다는 것보다 카스퍼스키 연구원들을 더 놀라게 한 건 라자루스가 소셜엔지니어링에 대단히 많은 노력을 기울였다는 것이었다. “공격자들은 수개월 동안 소셜미디어 활동을 진행했습니다. 자신들의 미끼인 게임을 소셜미디어에 꾸준히 올렸는데, 그 광고를 위한 콘텐츠도 항상 새롭게 만들곤 했습니다. 진짜 게임이 존재하는 것처럼 느껴질 수밖에 없었습니다.”
심지어 그냥 게시글만 주구장창 올린다거나, 광고를 노출시키는 것만 한 것도 아니었다. “암호화폐 분야에서 나름 잘 알려진 인물들과 접촉하여 광고비를 주고 광고를 의뢰하기도 했습니다. 물론 광고 의뢰를 하는 척 하면서 그런 사람들이나 단체들을 감염시키려고 하기도 했습니다. 엑스에서 주로 활동했지만, 링크드인 프리미엄 계정도 활용했고 이메일로 스피어피싱도 진행했습니다. 이들의 가짜 웹사이트 자체가 대단히 전문적으로 제작되었기 때문에 이런 전략들이 나쁘지 않은 효과를 거뒀을 것으로 추정됩니다.”
이들의 소셜 활동에 속아 게임 사이트에 접속하면 무슨 일이 벌어질까? 당연히 게임 클라이언트를 다운로드 하라는 내용이 나오는데, 이를 수락하면 400MB의 압축파일이 하나 다운로드 되기 시작한다고 카스퍼스키 측은 설명한다. “detankzone.zip이라는 파일입니다. 열어보니 진짜 게임이 구현되는 파일들이 존재했습니다. 게임 로고, 사용자 인터페이스, 3D 모델링 등의 자원들도 확인이 됐고요.”
그래서 게임을 실행했는데, 제일 먼저는 전형적인 온라인 게임의 시작 메뉴가 화면에 떴다. 로그인을 해야 한다는 내용의 창이었다. 계정이 없다면 새로운 ID와 비밀번호로 계정을 만들어야 한다는 안내도 있었다. 여기까지는 여느 온라인 게임과 대동소이했다. “하지만 등록도 되지 않고, 로그인도 되지 않았습니다. 다음 단계로 넘어갈 수가 없었습니다. 그래서 게임 코드를 리버스 엔지니어링 했는데, 분명히 400MB의 파일 안에는 실제 게임과 관련된 콘텐츠들이 존재했습니다. 게임 서버 주소도 하드코딩 되어 있었는데, 그 서버는 작동하지 않았습니다.”
카스퍼스키는 그래서 게임 서버를 직접 개발했고, 결국 실제 게임을 플레이할 수 있었다고 한다. “이들이 미끼로 사용한 게임은 실제로 존재하는 게임이었습니다. 물론 조악한 게임이었고, 기존 다른 게임들의 많은 요소들을 차용한, 흔한 작품이었습니다만 어느 정도 재미있게 플레이가 가능한 실제 게임이었습니다. 라자루스가 게임까지 개발할 줄 아는 것일까 싶어서 꽤나 놀랐습니다.”
게임
하지만 아니었다. 게임의 원저작자는 따로 있었다. 추적과 검색을 통해 카스퍼스키는 라자루스가 퍼트리고 있는 가짜 게임의 오리지널 버전을 찾아낼 수 있었다고 한다. “원래 게임의 이름은 디파이탱크랜드(DeFiTankLand)였습니다. 라자루스가 개발자로부터 소스코드를 탈취한 것으로 보이며, 자신들의 입맛에 맞게 게임을 수정한 뒤 미끼로 사용했을 것이라고 저희는 결론을 내리고 있습니다.”
디파이탱크랜드는 디파이(DeFi)라는 이름이 나타내듯 블록체인 및 암호화폐 생태계를 기반으로 하고 있다. 디파이탱크랜드 개발사는 DFTL2라는 코인을 만들어 거래하기도 했다. “2024년 3월 2일 이 DFTL2 코인의 가격이 급락한 적이 있습니다. 알고 보니 DFTL2 개발자들의 콜드월렛이 해킹 공격에 당했던 게 그 이유였습니다. 당시 개발자들은 약 2만 달러의 DFTL2 코인을 잃었다고 합니다. 재미있는 건 그 사건이 벌어지기 2주 전인 2월 20일, 공격자들이 엑스에서 자신들의 게임을 광고하기 시작했다는 겁니다.”
아직 명확한 증거는 없지만 카스퍼스키는 이 암호화폐 도난 사건도 라자루스의 소행인 것으로 추정하고 있다. “라자루스가 게임의 소스코드를 탈취하면서 코인도 같이 훔쳤을 거라고 봅니다. 즉 일석이조의 효과를 거둔 것입니다. 코인도 얻고, 악성 캠페인을 벌일 자료도 얻은 것이죠.” 하지만 DFTL2 개발사 측에서는 내부자의 소행이라고 사건을 정리했었다. 구체적인 내용은 공개되지 않은 채였다.
카스퍼스키는 “라자루스는 가장 정교한 기술력을 갖춘 APT 그룹 중 하나인데 활발하기까지 하다”고 경고한다. “그리고 돈을 노리는 공격을 자주 실행합니다. 이미 지난 수년 동안 암호화폐 산업을 겨냥한 공격을 다수 성공시키기도 했었죠. 이들은 앞으로도 세계 곳곳의 금고를 노릴 것입니다. 그러면서 스스로를 진화시키고 발전시키겠죠.”
현재까지 발견된 라자루스의 주된 특징 중 하나는 제로데이 취약점을 익스플로잇 하는 것이라고 카스퍼스키는 지적한다. “그렇기 때문에 이들이 어떤 소프트웨어의 어떤 취약점을 익스플로잇 할 지 예측하는 건 어려운 일이 됩니다. 다만 이들은 소셜엔지니어링 기법을 적극 활용하는 편인데, 따라서 이런 측면에서의 교육과 훈련을 이뤄간다면 어느 정도 효과를 거둘 수 있을 겁니다.”
3줄 요약
1. 북한의 라자루스, 소셜미디어에서 게임 광고하며 피해자들 양산 중.
2. 실제 게임의 소스코드 훔친 후 자신들의 입맛에 맞게 개조하여 활용 중.
3. 구글 크롬 브라우저의 제로데이 취약점 익스플로잇 하는 중.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
