북한의 해킹조직 스카크러프트(ScarCruft)가 인터넷 익스플로러(Internet Explorer, IE)의 제로데이 취약점을 이용한 대규모 공격을 펼친 것으로 드러났다. 이번 공격은 록랫(RokRAT) 악성코드를 감염시키고 데이터를 유출하는 데 목적을 둔 것으로, 2024년 5월에 발생한 것으로 보고되었다.
스카크러프트는 APT37 또는 레드아이즈(RedEyes)로도 알려져 있으며, 주로 한국과 유럽의 시스템을 표적으로 삼아 사이버 간첩 활동을 벌여왔다. 이들은 피싱(phishing), 워터링 홀(watering hole), 그리고 인터넷 익스플로러의 제로데이 취약점을 이용한 공격으로도 악명이 높다. 최근 국가사이버안전센터(NCSC)와 안랩(ASEC)이 공동 발표한 보고서에 따르면, 이번 캠페인은 “코드 온 토스트(Code on Toast)“로 명명되었으며, '토스트 팝업 광고’를 활용한 제로클릭(Zero-Click) 방식의 악성코드 감염이 이뤄졌다.
공격에 사용된 제로데이 취약점은 CVE-2024-38178로 알려졌고, 이는 인터넷 익스플로러의 타입 혼동(type confusion) 취약점으로 전해진다. 안랩(ASEC)과 NCSC는 해당 취약점을 즉시 마이크로소프트(Microsoft)에 보고했으며, 이에 따라 마이크로소프트는 지난 8월 해당 취약점에 대한 보안 업데이트를 발표했다.
흥미롭게도, 연구진은 이번 스카크러프트의 악용 방식이 과거 CVE-2022-41128 취약점을 사용했던 방식과 매우 유사했으며, 마이크로소프트의 기존 패치를 우회하기 위해 추가된 3줄의 코드가 차이점이라고 밝혔다.
토스트 알림은 백신 프로그램이나 무료 유틸리티 소프트웨어에서 알림이나 광고를 표시할 때 화면 모서리에 나타나는 팝업을 의미한다. 안랩(ASEC)에 따르면, APT37은 한 국내 광고 대행사의 서버를 해킹해 다수의 한국인이 사용하는 무료 소프트웨어에 ‘토스트 광고’를 주입했다. 이 광고에는 악성 아이프레임이 포함되어 있었으며, 인터넷 익스플로러가 이를 렌더링할 때 ‘ad_toast’라는 자바스크립트 파일이 CVE-2024-38178 취약점을 통해 원격 코드 실행을 유발했다.
이번 공격에서 유포된 악성코드는 록랫(RokRAT) 변종으로, 이 악성코드는 수년간 스카크러프트가 사용해 온 것으로 알려져 있다. 록랫은 .doc, .mdb, .xls, .ppt, .txt, .amr 등 20개의 파일 확장자를 가진 파일을 30분마다 얀덱스(Yandex) 클라우드 서버로 유출하는 역할을 한다. 또한 키로깅, 클립보드 변경 감시, 3분마다 스크린샷 촬영 등 다양한 악성 행위를 수행한다.
APT37의 감염 과정은 4단계로 이루어지며, 각 단계에서 페이로드가 explorer.exe 프로세스에 삽입되어 보안 도구를 우회한다. 만약 어베스트나 시만텍 백신이 탐지될 경우, 악성코드는 C:\Windows\system32 폴더의 임의 실행 파일에 삽입된다. 최종 페이로드는 윈도우 시작 프로그램에 추가되고, 4분마다 시스템 스케줄러에 의해 실행되도록 등록된다.
마이크로소프트(Microsoft)는 2022년 중반 인터넷 익스플로러의 공식 퇴출을 발표했지만, 여전히 많은 프로그램에서 IE가 사용되고 있어 새로운 취약점이 발견될 여지가 크다. 특히, 사용자가 인식하지 못한 채 오래된 소프트웨어를 사용하는 경우, 이번과 같은 제로클릭 공격에 쉽게 노출될 수 있다.
비록 마이크로소프트가 이번 취약점에 대한 패치를 배포했지만, 이를 사용하는 모든 소프트웨어에서 즉각적으로 적용된다는 보장이 없어, 사용자들이 위험에 계속 노출될 수 있다. 구형 인터넷 익스플로러를 사용하는 무료 소프트웨어는 여전히 많은 사용자들에게 위협이 되고 있어 각별히 주의해야 한다.