북한 사이버 공격 그룹인 '시트린 슬릿(Citrine Sleet)'이 최근 구글 크롬의 제로데이 취약점(CVE-2024-7971)을 악용해 퍼드모듈(FudModule) 루트킷을 배포한 사실이 밝혀졌다. 이 사건은 북한 국가 차원의 사이버 위협그룹의 가상화폐 분야를 겨냥한 공격이 지속되고 있음을 말해주고 있다. 

이번에 악용된 취약점은 크롬의 V8 자바스크립트 엔진에서 발생한 타입 혼동(type confusion) 문제로, 공격자들이 브라우저의 샌드박스 환경에서 원격 코드 실행을 가능하게 했다. 브라우저가 손상된 후, 공격자들은 추가적인 취약점(CVE-2024-38106)을 이용해 윈도우 샌드박스를 탈출하고 시스템 권한을 획득했다. 이것으로 공격자들은 시스템 깊숙이 접근할 수 있었고, 커널 조작을 가능하게 하는 FudModule 루트킷을 설치할 수 있었다.

시트린 슬릿은 북한의 해커 조직인 라자루스 그룹의 하위 그룹으로, 가상화폐 관련 조직을 주로 표적으로 공격하고 있다. 이들은 정교한 사회 공학 기법을 사용해 가짜 가상화폐 거래 플랫폼을 세우고, 사용자들을 속여 악성 소프트웨어를 설치하도록 유도해 왔다. 이번 공격에서 사용된 제로데이 취약점 악용은 고도의 기술력과 조직적인 협력을 보여주며, 이러한 사이버 작전이 북한 정부의 자금 조달 활동의 일환으로 악용되고 있다.

이번 사건은 올해 들어 세 번째로 북한 해커들이 퍼드모듈 루트킷을 배포하기 위해 취약점을 악용한 사례로, 이들의 공격이 얼마나 빈번하고 효과적인지를 다시 한 번 입증했다. 구글의 신속한 패치와 마이크로소프트의 지속적인 모니터링 덕분에 이번 공격의 피해를 최소화할 수 있었지만, 새로운 위협에 대한 지속적인 경계와 신속한 대응이 얼마나 중요한지 보여준 사례다. 

[PASCON 2024] 하반기 최대 사이버보안 컨퍼런스 초대!(보안담당자 7시간 보안교육이수)

▶주최: 데일리시큐

▶후원: 개인정보보호위원회, 한국정보보호산업협회   

▶대상: 정부·공공·공기업·정부산하기관·금융·의료·교육·일반기업 개인정보보호 및 정보보안 담당자 1,000여명 (단, 현업 보안실무자 이외 프리랜서, 학생, 일반인 등은 보안과 관련 없는 자는 참석 금지)

▶일시: 2024년 9월 10일 화요일 오전 9시~오후 5시

▶장소: 더케이호텔서울 2층 가야금홀+거문고홀A 및 로비

▶인원: 개인정보보호 및 정보보안 실무자 1,000여 명

▶전시회: 국내외 최신 보안솔루션 전시회(30여개 기업 참여)

▶참가비: 무료/1일 주차권 지급/점심식사는 제공하지 않습니다.

▶보안교육: 사전등록+현장참석+설문제출자에 한해 7시간 교육이수증 발급

▶사전등록: 9월 8일 오후 5시 마감

▶사전등록링크:클릭

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★