구글 크롬 취약성, 북한 해커들에 의해 악용, 마이크로소프트 경고

북한 사이버 그룹 시트린 슬리트, 크로미움 제로 데이 취약점 악용

마이크로소프트는 금요일에 보고서를 발표하여, 지난주에 시트린 슬리트라는 북한 사이버 그룹이 크로미움 브라우저에서 제로 데이 취약점을 악용한 것을 발견했다고 알렸습니다. 이 보고서는 마이크로소프트 위협 인텔리전스와 마이크로소프트 보안 응답 센터(MSRC)에 의해 발표되었으며, 해당 취약점을 CVE-2024-7971로 식별했습니다. 이는 크로미움에서 사용되는 V8 자바스크립트 및 웹어셈블리 엔진에서의 타입 혼동 오류입니다.

이 제로 데이 결함은 브라우저의 격리된 렌더러 프로세스 내에서 원격 코드 실행(RCE)을 허용하여 공격자가 타겟 시스템에서 유해한 코드를 실행할 수 있게 했습니다. 마이크로소프트는 다음과 같이 말했습니다:

우리의 지속적인 분석과 관측된 인프라는 이 활동을 중간 수준의 신뢰도로 시트린 슬리트에 기인한다고 봅니다.

시트린 슬리트는 재정적 이익을 목표로 하는 암호화폐 분야에 집중하는 것으로 알려져 있습니다. 추가 분석에 따르면 시트린 슬리트가 또 다른 북한 위협 그룹인 다이아몬드 슬리트와 도구와 인프라를 공유할 가능성이 있으며, 특히 Fudmodule 루트킷 악성코드를 통해 그런 가능성이 높다고 합니다. 보고서에 따르면 시트린 슬리트는 애플제우스와 히든 코브라라는 다른 이름으로도 알려져 있으며, 북한의 사이버 스파이 조직인 121국과 연결되어 있습니다. 이 그룹은 가짜 암호화폐 사이트를 설정하거나 피해자를 속이기 위해 악성 구직 제안 또는 암호화폐 지갑을 발송하는 등의 고급 기술을 사용합니다.

크로미움은 구글 크롬을 포함하여 추가적인 독점 기능과 서비스를 통합하는 오픈 소스 웹 브라우저 프로젝트입니다. 크롬은 크로미움의 코드베이스를 기반으로 구축되었기 때문에 크로미움의 취약점은 일반적으로 크롬에도 영향을 미칩니다.

타겟이 도메인 voyagorclub[.]space에 연결되면 제로 데이 익스플로잇이 사용되어 악성코드 다운로드 및 윈도우 보안 샌드박스에서의 탈출을 초래합니다. 마이크로소프트는 8월 13일에 이 취약점을 패치했지만, 시트린 슬리트의 활동과 직접적인 연결고리는 없다고 밝혔며, 이는 취약점을 여러 그룹이 동시에 발견했거나 정보를 공유했을 가능성을 시사합니다.

마이크로소프트는 다음과 같이 조언했습니다:

제로 데이 익스플로잇은 시스템을 최신 상태로 유지하는 것뿐만 아니라, 사이버 공격 체인을 통해 포스트 컴프라믹스 공격 도구 및 악의적인 활동을 감지하고 차단하는 통합된 가시성을 제공하는 보안 솔루션이 필요합니다.

보고서는 시스템을 최신 상태로 유지하고 복잡한 사이버 위협에 대처하기 위해 고급 보안 프로토콜을 구현할 긴급한 필요성을 강조했습니다. 특히 암호화폐 분야에서 그러한 필요성이 강조됩니다. 마이크로소프트는 운영 체제와 애플리케이션을 빠르게 업데이트할 필요성도 강조하며 다음과 같이 조언했습니다: “운영 체제와 애플리케이션을 최신 상태로 유지하고 가능한 빨리 보안 패치를 적용하십시오.” 또한 사용자에게 “Google Chrome 웹브라우저가 버전 128.0.6613.84 이상으로 업데이트되어 있는지 확인하십시오.”라고 권장했습니다.

크로미움에서 제로 데이 취약점을 악용한 북한 사이버 그룹의 발견에 대해 어떻게 생각하십니까? 아래 댓글 섹션에서 알려주세요.