美뉴스매체·IT·가상화폐 등 다양한 분야에 악성코드 설치 시도

ⓒ데일리포스트=이미지 제공/pixabay

[데일리포스트=김정은 기자] 구글 위협분석그룹(TAG)이 24일(현지시간) 북한 정부의 지원을 받은 해커가 크롬의 제로데이 취약점(CVE-2022-0609)을 악용해 악성코드 감염을 시도했다고 공식블로그에서 발표했다.

미국을 거점으로 하는 ▲뉴스 미디어 ▲IT 서비스 ▲가상화폐 ▲금융서비스 등 폭넓은 업계의 수백 대  컴퓨터가 공격 표적이 된 것으로 파악됐다. 

구글은 2월 14일 크롬의 제로데이 취약점을 발견하고 긴급 패치를 진행했지만 업데이트 하지 않은 경우 제로데이 상태가 여전히 이어지고 있다. 이번에 문제가 된 제로데이 취약점은 크롬에서 애니메이션을 실행시킨 후 해제 메모리를 악용하면 원격 코드를 실행할 수 있다.  

TAG는 이 취약점이 북한의 해킹 그룹인 ‘오퍼레이션 드림잡(Operation Dream Job)’과 ‘오퍼레이션 애플제우스(Operation AppleJeus)에 의해 악용됐다고 밝혔다.  

오퍼레이션 드림잡은 2020년 6월경부터 공격을 진행한 것으로 확인됐으며, 10개 기업(뉴스 미디어, 웹 호스팅 제공업체, 소프트웨어 제공업체 등)에서 근무하는 250명 이상의 개인을 대상으로 삼았다. 

해커그룹은 디즈니·구글·오라클 등 주요 기업의 구인 제안을 위장한 메일을 보냈다. 해당 이메일에는 인디드(Indeed)와 집리크루터(Zip Recruiter)와 같은 유명 채용 사이트를 사용한 링크가 포함되어 있으며, 링크를 클릭하면 CVE-2022-0609를 악용한 숨겨진 아이프레임(iframe)이 배포되면서 공격이 실행되는 방식이다. 

ⓒ데일리포스트=이미지 제공/구글 공색 블로그

이러한 악성 키트(kit)는 피해자의 클라이언트 정보를 수집하고 해킹을 위해 서버로 전송한다. 사용된 악성코드는 스토리지에 흔적을 남기지 않고, 메모리 내에서만 동작하면서도 고도의 기능을 발휘하기 때문에 공격을 파악하기 쉽지 않다. 

또 다른 해킹그룹인 오퍼레이션 애플제우스는 가상자산과 핀테크 서비스 사용자 85명을 대상으로 공격을 시도했다. 북한이 지원하는 해킹 그룹의 범행으로는 처음으로 '애플 macOS용 멀웨어'가 사용된 것이 특징이라고 구글은 설명했다. 

구글이 CVE-2022-0609를 확인한 것이 올해 2월이다. 그러나 2018년경부터 공격이 시작된 것으로 파악되고 있어, 북한 해킹그룹은 오래전부터 제로데이 취약성을 알고 있었던 것으로 추정된다. 북한 해커들은 과거에도 크롬의 또 다른 제로데이 취약점을 이용해 공격을 한 적이 있다.

한편, TAG는 이번 공격과 연관된 웹사이트와 도메인을 식별해 구글 ‘세이프 브라우징(Safe Browsing)’ 웹사이트에 업데이트하는 한편, 영향을 받은 구글 사용자 전체를 대상으로 공격 사실을 전했다. 

저작권자 © 데일리포스트 무단전재 및 재배포 금지