Microsoft, Google Chrome 제로데이 원격 코드 악용의 배후에 있는 북한 암호화폐 도둑을 파악
최근 Microsoft의 위협 인텔리전스 팀은 잘 알려진 북한 위협 행위자가 중요한 Chrome 원격 코드 실행 결함을 악용한 배후에 있다고 밝혔습니다. Google이 2024년 8월 21일에 패치한 이 결함은 Chromium V8 JavaScript 및 WebAssembly 엔진의 유형 혼동 취약성을 통해 악용되었습니다. CVE-2024-7971로 식별된 이 취약성은 올해 감지된 일곱 번째 Chrome 제로데이 악용입니다.
목차
북한 해커, 금전적 이익을 위해 크롬 취약점 악용
Microsoft에 따르면 CVE-2024-7971의 악용은 'Citrine Sleet'이라는 북한 그룹에 기인한 것으로 밝혀졌습니다. 이 그룹은 상당한 재정적 이득을 목표로 암호화폐를 관리하는 금융 기관과 개인을 표적으로 삼은 전력이 있습니다. Microsoft의 보고서에 따르면 Citrine Sleet은 원격 코드를 실행하기 위해 제로데이 익스플로잇을 사용하여 피해자의 컴퓨터에 침투하고 정교한 루트킷을 배포했습니다.
이 공격은 2024년 8월 19일에 처음 발견되었는데, 북한 해커들이 피해자들을 침해된 도메인으로 유도했을 때였습니다. 이 도메인은 원격 코드 실행 브라우저 익스플로잇을 제공하도록 설계되었으며, 궁극적으로 공격자는 대상 시스템을 제어할 수 있었습니다. 해커들은 침입한 후 이전에 다른 북한의 고급 지속적 위협(APT) 그룹과 관련이 있었던 악성 소프트웨어인 FudModule 루트킷을 배포했습니다.
시트린 슬리트와 그 관계
Microsoft에서 이 그룹에 붙인 이름인 Citrine Sleet은 AppleJeus , Labyrinth Chollima, UNC4736, Hidden Cobra 를 포함한 다른 사이버 보안 기관에서도 다른 별칭으로 추적합니다. 이러한 별칭은 이 그룹이 대규모 사이버 공격을 조직하는 것으로 알려진 악명 높은 사이버 전쟁 부대인 북한 정찰 총국 121국과 제휴되어 있음을 나타냅니다.
이러한 위협으로부터 보호하기
암호화폐 분야를 표적으로 삼는 사이버 위협이 증가함에 따라 개인과 조직이 경계하는 것이 매우 중요합니다. Microsoft가 Citrine Sleet의 활동을 적시에 파악한 것은 정교한 공격으로부터 보호하기 위해 소프트웨어를 최신 상태로 유지하고 강력한 보안 조치를 취하는 것의 중요성을 강조합니다.
사이버 위협이 계속 진화함에 따라, 특히 Citrine Sleet와 같은 국가 지원 행위자와 관련된 위협의 경우, 사이버 보안에 대한 사전 예방적 접근 방식을 유지하는 것이 필수적입니다. Google Chrome의 CVE-2024-7971과 같은 최신 취약성과 그 악용에 대한 정보를 유지하는 것은 이러한 항상 존재하는 위험으로부터 방어하는 데 중요합니다.