Microsoft 연구원 팀이 보고서를 통해 북한 갱단이 Chrome의 이전에 알려지지 않은 버그를 이용해 특정 조직을 표적으로 삼아 암호화폐를 훔쳤다고 밝혔습니다.
금요일에 발표된 보고서에 따르면, 마이크로소프트의 사이버보안 연구원들은 8월 19일에 해커들의 불법 행위를 처음 알게 되었습니다 보고서 또한 이 갱단이 암호화폐 산업과 금융 서비스 제공업체를 전반적으로 표적으로 삼는 것으로 알려진 Citrine Sleet과 제휴했다고 밝혔습니다.
해커들은 브라우저의 결함을 이용했습니다.
TechCrunch 기사에 따르면, 유엔 안전보장이사회는 2017년부터 2023년 사이에 30억 달러 상당의 암호화폐가 도난당했다고 추정하며, 암호화폐는 수년 동안 북한 정부 해커들의 주요 타깃이 되어 왔습니다
Microsoft 연구원에 따르면, 해커 무리는 Chrome과 Microsoft Edge 등 다른 인기 브라우저의 기본 코드인 Chromium의 핵심 엔진의 취약점을 악용했습니다.
보고서는 해커들이 브라우저의 취약점을 악용했을 당시 제로데이 취약점이 존재했다고 설명했습니다. 즉, 소프트웨어 개발사인 구글은 해당 버그를 인지하지 못했다는 뜻입니다. 테크크런치 기사에 따르면, 해당 팀은 버그가 악용되기 전에 패치를 배포할 시간이 전혀 없었습니다.
연구자들의 설명에 따르면, 구글은 이틀 후인 8월 21 일
TechCrunch 에 따르면 , 구글 대변인 스콧 웨스토버는 구글이 버그를 수정했다고 밝혔지만, 더 자세한 내용은 밝히지 않았습니다.
Microsoft는 "타겟 고객 및 침해당한 고객"에게 통보했다고 밝혔지만, 설정된 타겟에 대한 자세한 정보나 이 "해킹 공격"의 타겟 및 피해자 수에 대한 정보는 제공하지 못했습니다.
대변인 크리스 윌리엄스는 이 부정행위로 피해를 입은 조직의 수를 공개하기를 거부했습니다.
북한 갱단, 금융 서비스 노린다
연구원들에 따르면, 시트린 슬리트는 북한을 기반으로 활동하며 주로 금융 서비스 제공자와 암호화폐를 수익 목적으로 관리하는 개인을 표적으로 삼고 있으며, 이 그룹은 사회 공학적 기술의 일환으로 "암호화폐 산업과 관련 개인에 대한 광범위한 정찰을 수행"했습니다.
보고서의 일부에서는 "위협 행위자는 합법적인 암호화폐 거래 플랫폼으로 위장한 가짜 웹사이트를 만들고 이를 이용해 가짜 구직 지원서를 배포하거나, 합법적인 애플리케이션을 기반으로 무기화된 암호화폐 지갑이나 거래 애플리케이션을 다운로드하도록 대상을 유인합니다."라고 기술되어 있습니다.
"시트린 슬리트는 주로 자사가 개발한 독특한 트로이 목마 맬웨어인 AppleJeus를 이용해 대상을 감염시키는데, 이 맬웨어는 대상의 암호화폐 자산을 장악하는 데 필요한 정보를 수집합니다."
마이크로소프트 보고서.
북한 해커들의 경우, 연구원들은 피해자를 속여 자신들이 관리하는 웹 도메인으로 이동시키는 것으로 공격을 시작했다고 밝혔습니다. 보고서는 또한 윈도우 커널의 또 다른 취약점을 악용하여 해커들이 피해자 기기의 운영 체제에 깊숙이 접근할 수 있는 악성코드를 설치했다고 설명했습니다. 해커들은 피해자의 데이터와 기기를 완전히 장악했습니다.
TechCrunch에 따르면, 엄격한 국제 제재로 인해 북한 정권은 핵무기 자금을 조달하기 위해 불법적인 암호화폐 활동에 눈을 돌렸습니다.
