암호화폐 탈취가 주요 목적이었을 가능성 커
북한 해킹 그룹 라자루스가 구글 크롬 제로데이 취약점인 CVE-2024-4947을 악용해 가짜 분산형 금융(DeFi) 게임을 통해 암호화폐 관련 자들을 타깃으로 공격했다. 카스퍼스키(Kaspersky)가 지난 5월 이 공격을 발견하고 구글에 크롬 취약점을 보고했으며, 구글은 같은 달 크롬 125.0.6422.60/.61 버전에서 해당 취약점에 대한 패치를 배포했다.
이번 캠페인은 올해 2월에 시작되었으며, 카스퍼스키는 러시아의 한 고객 PC에서 ‘매너스크립트(Manuscrypt)’ 백도어 악성코드의 새로운 변종을 감지한 후 이를 발견했다. 라자루스는 여러 해 동안 매너스크립트를 사용해 왔으나, 이번에는 기존과 다른 무작위 타깃을 대상으로 했다는 점이 주목되었다. 추가 조사 결과, 새로운 매너스크립트 페이로드가 감지되기 전 구글 크롬이 ‘detankzone[.]com’ 웹사이트에서 악용된 것으로 드러났다. 이 웹사이트는 탱크를 주제로 한 NFT 기반 멀티플레이어 온라인 배틀 아레나(MOBA) 게임인 ‘DeTankZone’을 홍보하고 있었다.
라자루스는 소셜 미디어 X(구 트위터), 스피어 피싱 이메일, 그리고 링크드인(LinkedIn) 프리미엄 계정을 활용해 고가치 타깃에게 이 게임을 집중적으로 홍보했다. 카스퍼스키가 게임을 다운로드해 역분석한 결과, 라자루스가 ‘DeFiTankLand’라는 정식 게임의 소스 코드를 도용해 단순히 재브랜딩한 게임임이 밝혀졌다. 400MB 크기의 ZIP 파일로 제공되는 이 게임은 로그인/등록 화면 이후 제대로 작동하지 않았으며, 백엔드 인프라는 이미 종료된 상태였다. 게임 자체는 타깃 시스템에서 악성 활동을 수행하지 않았다.
구글 크롬 취약점 악용은 ‘detankzone[.]com’ 웹사이트에서 발생했으며, 해당 웹사이트는 숨겨진 스크립트(index.tsx)를 포함하고 있었다. 이 스크립트는 크롬의 자바스크립트 엔진인 V8에서 발생하는 타입 혼동 취약점(CVE-2024-4947)을 악용하도록 설계되었다. 라자루스는 크롬의 JIT 컴파일러인 매그레브(Maglev)를 사용해 메모리를 손상시키고, 이를 통해 크롬 프로세스의 전체 주소 공간에 접근할 수 있었다.
이 단계에서 공격자는 쿠키, 인증 토큰, 저장된 비밀번호 및 브라우징 기록에 접근할 수 있었다. 크롬의 V8 샌드박스는 자바스크립트 실행을 시스템 나머지 부분과 격리하지만, 라자루스는 V8의 두 번째 취약점을 이용해 샌드박스를 탈출하고 원격 코드 실행을 달성해 시스템 메모리에서 쉘코드를 실행했다. 카스퍼스키는 “이 문제는 2024년 3월에 보고되어 수정되었다”고 설명했다. 이 취약점이 버그 충돌이었는지, 아니면 공격자가 먼저 발견해 제로데이로 악용했는지는 아직 밝혀지지 않았다.
라자루스가 사용한 쉘코드는 정찰 도구로, 공격 대상 컴퓨터가 계속 공격할 가치가 있는지를 판단하는 역할을 했다. 이는 CPU, BIOS, 운영체제 정보 수집, 가상 머신 탐지, 디버깅 방지 검사를 수행하고 이 정보를 라자루스의 명령 및 제어(C2) 서버로 전송했다. 카스퍼스키는 분석 당시 라자루스가 공격 사이트에서 악성 스크립트를 제거했기 때문에 이후의 공격 단계를 분석할 수는 없었다. 그러나 이번 캠페인의 목표는 과거 라자루스의 행적을 고려했을 때 암호화폐 탈취가 주요 목적이었을 가능성이 크다고 분석했다.
![[단독] '20% 마진' 아마존 위탁판매 사칭 사이트…경찰 수사 착수](https://img.newspim.com/news/2024/01/29/2401292340173680.jpg)
