러시아 해킹그룹 'RomCom', 파이어폭스와 윈도우 제로데이 악용해 사이버공격

러시아 기반 사이버 범죄 그룹 'RomCom'이 파이어폭스(Firefox)와 토르 브라우저(Tor Browser)의 제로데이 취약점을 이용해 유럽과 북미 지역 사용자들을 대상으로 대규모 공격을 벌였다. 이번 공격은 RomCom이 정교한 제로데이 체인 익스플로잇을 활용해 사용자의 개입 없이 원격 코드 실행을 가능하게 했다는 점에서 큰 우려를 낳았다.

이번 공격에서 악용된 첫 번째 취약점은 CVE-2024-9680으로, 이는 파이어폭스의 애니메이션 타임라인 기능에서 발생하는 사용 후 해제(use-after-free) 취약점이다. 이 취약점은 브라우저의 샌드박스 환경 내에서 임의 코드를 실행할 수 있게 한다. 모질라(Mozilla)는 체코 보안 기업 이셋(ESET) 보고를 받은 지 하루 만인 지난 10월 9일 긴급 패치를 배포했다.

두 번째 취약점은 윈도우(Windows) 작업 스케줄러(Task Scheduler) 서비스에서 발생하는 권한 상승 취약점 CVE-2024-49039로, 공격자가 파이어폭스 샌드박스를 벗어나 시스템의 고급 권한을 획득할 수 있다. 마이크로소프트(Microsoft)는 이 취약점에 대한 보안 업데이트를 2024년 11월 12일에 발표했다.

RomCom은 두 제로데이를 체인 형태로 결합해 사용자의 개입 없이 원격 코드 실행을 가능하게 했다. 공격은 악성으로 조작된 웹사이트를 통해 이루어졌으며, 피해자가 취약점이 있는 브라우저로 해당 웹사이트를 방문하면 셸코드가 실행되어 RomCom 백도어가 시스템에 설치되었다.

이셋 연구진은 “이번 공격은 가짜 웹사이트를 통해 피해자를 익스플로잇 서버로 리디렉션한 뒤, 취약점이 성공적으로 악용되면 셸코드를 실행해 RomCom 백도어를 다운로드하고 실행하는 방식으로 이루어졌다”고 밝혔다. 링크가 어떻게 배포되었는지는 확인되지 않았으나, 취약한 브라우저로 해당 페이지에 접속만 해도 페이로드가 자동으로 실행되었다고 덧붙였다.

공격 대상은 주로 파이어폭스와 토르 브라우저 사용자였다. 특히, 자바스크립트 익스플로잇 이름이 ‘main-tor.js’로 명명된 것을 통해 토르 브라우저 12 및 13 버전 사용자를 겨냥했음이 확인됐다.

RomCom 백도어가 설치되면 공격자는 피해자의 시스템에서 명령을 실행하거나 추가 페이로드를 배포할 수 있다. 이셋 텔레메트리 데이터에 따르면, 이번 캠페인의 잠재적 타겟은 국가별 단일 사용자에서 최대 250명에 이르렀으며, 이는 공격이 광범위하게 이루어졌음을 보여준다.

RomCom은 이번 공격 이전에도 제로데이 취약점을 악용해왔다. 2023년 7월, 이 그룹은 윈도우 및 오피스(Office) 제품의 제로데이 취약점 CVE-2023-36884를 악용해 리투아니아 빌뉴스에서 열린 나토(NATO) 정상 회의 참석 기관들을 공격한 바 있다.

RomCom은 주로 금전적 동기를 가진 캠페인을 벌여왔으며, 랜섬웨어 및 협박 공격 외에도 정보 탈취와 같은 스파이 활동에 관여하고 있는 것으로 알려져 있다. 과거에는 인더스트리얼 스파이(Industrial Spy) 랜섬웨어에서 언더그라운드(Underground) 랜섬웨어로 전환해 활동하기도 했다.

이번 제로데이 공격에 대응하기 위해 보안 전문가들은 다음과 같은 조치를 권고했다.

-소프트웨어 업데이트: 파이어폭스는 최신 버전(131.0.2 이상)으로 업데이트하고, 윈도우 보안 업데이트를 반드시 적용해야 한다.

-사이트 접속 주의: 신뢰할 수 없는 웹사이트 방문을 삼가야 한다.

-보안 기능 활성화: 브라우저 보안 기능을 활성화하고, 신뢰할 수 없는 사이트에서 JavaScript를 비활성화하는 것도 도움이 된다.

이셋 연구진은 “제로데이를 체인으로 활용한 이번 RomCom의 공격은 높은 수준의 정교함과 은밀한 역량을 보여주는 사례”라며, 지속적인 보안 업데이트와 경각심이 필요하다고 경고했다.