북한 사이버 그룹, 윈도우 제로데이를 악용해 RokRAT 맬웨어 확산

새로운 사이버 공격의 물결 속에서 북한 해킹 그룹 ScarCruft가 Windows의 제로데이 취약점을 악용한 것으로 밝혀졌습니다. 이 결함으로 인해 공격자는 RokRAT 이라는 위험한 맬웨어를 퍼뜨릴 수 있었습니다. 패치가 적용되었음에도 불구하고 CVE-2024-38178로 식별된 이 취약점은 Internet Explorer 모드에서 Microsoft Edge 브라우저를 사용하는 시스템을 노출시켰습니다.

취약점: CVE-2024-38178

CVE-2024-38178 취약점은 Internet Explorer Mode의 스크립팅 엔진에서 메모리 손상 문제입니다. CVSS 점수가 7.5로 심각한 보안 위험을 초래했습니다. 이 결함이 악용되면 손상된 컴퓨터에서 원격 코드 실행이 가능해졌습니다. 이를 위해 공격자는 사용자를 속여 악성 URL을 클릭하도록 해야 했습니다. 이 작업이 수행되면 악성 코드가 실행되어 시스템이 취약해집니다.

Microsoft는 2024년 8월 Patch Tuesday 업데이트에서 이 결함을 해결했습니다. 그러나 패치 전에 ScarCruft는 이 취약점을 성공적으로 활용하여 맬웨어를 퍼뜨렸고, 특히 한국의 사용자를 표적으로 삼았습니다. AhnLab Security Intelligence Center(ASEC)와 한국의 국가사이버보안센터(NCSC)가 이 결함을 발견하고 보고했습니다. 그들은 이 캠페인을 "Operation Code on Toast"라고 불렀습니다.

ScarCruft의 공격 전략

APT37, RedEyes, InkySquid 등의 다른 별칭으로도 알려진 ScarCruft는 오래되었거나 지원되지 않는 소프트웨어의 취약점을 악용하는 것으로 악명이 높습니다. 이번에 그들의 전략에는 한국에서 일반적으로 사용되는 토스트 광고 프로그램이 포함되었습니다. 이 "토스트" 광고는 화면 오른쪽 하단에 나타나는 팝업 알림을 말합니다.

이 사례에서 공격자는 국내 광고 대행사의 서버를 손상시켰습니다. 그들은 토스트 광고를 구동하는 스크립트에 익스플로잇 코드를 주입했고, 그런 다음 함정이 있는 콘텐츠를 다운로드하여 렌더링했습니다. 이 콘텐츠는 취약성을 유발했으며, 특히 Internet Explorer의 JavaScript 엔진(jscript9.dll)을 표적으로 삼았습니다.

RokRAT 맬웨어의 역할

취약점이 악용되자 ScarCruft는 감염된 컴퓨터에 RokRAT 맬웨어를 설치했습니다. RokRAT는 여러 가지 동작을 할 수 있는 다재다능하고 위험한 맬웨어입니다.

RokRAT의 주목할 만한 측면 중 하나는 Dropbox, Google Cloud, Yandex Cloud와 같은 합법적인 클라우드 서비스를 명령 및 제어(C2) 서버로 사용한다는 것입니다. 이를 통해 맬웨어가 일반 네트워크 트래픽에 섞여 엔터프라이즈 환경에서 감지하기 어렵게 만듭니다.

ScarCruft의 이전 익스플로잇

ScarCruft는 특히 Internet Explorer의 스크립팅 엔진의 취약점을 악용한 전력이 있습니다. 과거에는 CVE-2020-1380 및 CVE-2022-41128의 악용과 관련이 있었습니다. CVE-2024-38178과 같은 이러한 취약점은 원격 코드 실행을 허용했으며 맬웨어를 퍼뜨리는 데 유사하게 사용되었습니다.

방어 및 권장 사항

사이버 보안 전문가들은 북한의 위협 행위자들이 최근 몇 년 동안 더욱 정교해졌다고 경고합니다. 그들은 이제 Internet Explorer뿐만 아니라 다양한 소프트웨어 시스템 전반의 광범위한 취약성을 표적으로 삼고 있습니다.

유사한 공격으로부터 보호하려면 조직과 개인이 다음을 수행해야 합니다.

• 정기적으로 운영체제와 소프트웨어를 업데이트하세요.
• 최신 보안 패치를 설치하세요.
• 특히 팝업 광고의 URL을 클릭할 때는 주의하세요.

시스템을 최신 상태로 유지하고 의심스러운 링크를 파악함으로써 사용자는 ScarCruft와 같은 그룹이 초래하는 위험을 완화할 수 있습니다.