美뉴스매체·IT·가상화폐 등 다양한 분야에 악성코드 설치 시도
[데일리포스트=김정은 기자] 구글 위협분석그룹(TAG)이 24일(현지시간) 북한 정부의 지원을 받은 해커가 크롬의 제로데이 취약점(CVE-2022-0609)을 악용해 악성코드 감염을 시도했다고 공식블로그에서 발표했다.
미국을 거점으로 하는 ▲뉴스 미디어 ▲IT 서비스 ▲가상화폐 ▲금융서비스 등 폭넓은 업계의 수백 대 컴퓨터가 공격 표적이 된 것으로 파악됐다.
구글은 2월 14일 크롬의 제로데이 취약점을 발견하고 긴급 패치를 진행했지만 업데이트 하지 않은 경우 제로데이 상태가 여전히 이어지고 있다. 이번에 문제가 된 제로데이 취약점은 크롬에서 애니메이션을 실행시킨 후 해제 메모리를 악용하면 원격 코드를 실행할 수 있다.
TAG는 이 취약점이 북한의 해킹 그룹인 ‘오퍼레이션 드림잡(Operation Dream Job)’과 ‘오퍼레이션 애플제우스(Operation AppleJeus)에 의해 악용됐다고 밝혔다.
오퍼레이션 드림잡은 2020년 6월경부터 공격을 진행한 것으로 확인됐으며, 10개 기업(뉴스 미디어, 웹 호스팅 제공업체, 소프트웨어 제공업체 등)에서 근무하는 250명 이상의 개인을 대상으로 삼았다.
해커그룹은 디즈니·구글·오라클 등 주요 기업의 구인 제안을 위장한 메일을 보냈다. 해당 이메일에는 인디드(Indeed)와 집리크루터(Zip Recruiter)와 같은 유명 채용 사이트를 사용한 링크가 포함되어 있으며, 링크를 클릭하면 CVE-2022-0609를 악용한 숨겨진 아이프레임(iframe)이 배포되면서 공격이 실행되는 방식이다.
이러한 악성 키트(kit)는 피해자의 클라이언트 정보를 수집하고 해킹을 위해 서버로 전송한다. 사용된 악성코드는 스토리지에 흔적을 남기지 않고, 메모리 내에서만 동작하면서도 고도의 기능을 발휘하기 때문에 공격을 파악하기 쉽지 않다.
또 다른 해킹그룹인 오퍼레이션 애플제우스는 가상자산과 핀테크 서비스 사용자 85명을 대상으로 공격을 시도했다. 북한이 지원하는 해킹 그룹의 범행으로는 처음으로 '애플 macOS용 멀웨어'가 사용된 것이 특징이라고 구글은 설명했다.
구글이 CVE-2022-0609를 확인한 것이 올해 2월이다. 그러나 2018년경부터 공격이 시작된 것으로 파악되고 있어, 북한 해킹그룹은 오래전부터 제로데이 취약성을 알고 있었던 것으로 추정된다. 북한 해커들은 과거에도 크롬의 또 다른 제로데이 취약점을 이용해 공격을 한 적이 있다.
한편, TAG는 이번 공격과 연관된 웹사이트와 도메인을 식별해 구글 ‘세이프 브라우징(Safe Browsing)’ 웹사이트에 업데이트하는 한편, 영향을 받은 구글 사용자 전체를 대상으로 공격 사실을 전했다.