윈도 제로데이 취약점이 북한에서 활동하는 해커에 의해 악용되어 은밀한 고도의 멀웨어가 실제로 사용자에게 설치됐다는 사실이 밝혀졌다.
문제가 된 취약점은 CVE-2024-38193으로 마이크로소프트는 이를 WinSock용 윈도 부가 기능 드라이버 권한 상승 취약점이라고 설명하고 있다. 마이크로소프트에 따르면 공격자가 이 취약점을 성공적으로 악용하면 시스템 권한을 획득할 수 있다고 한다. 마이크로소프트는 이미 패치를 적용했지만 악용된 흔적이 확인됐다.
마이크로소프트는 취약점이 활발히 악용되고 있다고 경고했지만 공격 배후 인물이나 최종 목적에 대한 상세한 내용은 밝히지 않았다. 하지만 보안 기업 젠(Gen) 연구자들에 의해 공격이 북한에 근거지를 둔 범죄 그룹 라자루스(Lazarus) 소행임이 밝혀졌다.
젠에 따르면 라자루스는 AFD.sys 드라이버라고 불리는 윈도 중요한 부분에 숨겨진 보안 결함을 악용했으며 이 결함으로 인해 공격자는 일반적인 보안 제한을 우회하고 대부분 사용자나 관리자가 접근할 수 없는 기밀 시스템 영역에 접근할 수 있었다고 한다.
공격 목적은 암호화폐 엔지니어링이나 항공우주 분야에서 일하는 사람 같은 기밀성 높은 분야 개인을 표적으로 삼아 고용주 네트워크에 접근하고 공격자 활동 자금이 될 암호화폐를 훔치는 것이었다고 젠 측은 지적하고 있다. 젠 연구원은 이런 종류 공격은 교묘하고 기발하며 암시장에서 수십만 달러 피해를 낼 가능성이 있다고 말했다.
조사에 따르면 라자루스는 루트킷으로 알려진 멀웨어 일종인 푸드모듈(FudModule)을 설치하기 위해 취약점을 악용했다고 한다. 푸드모듈은 윈도 기밀 영역에서 작동하는 능력이 뛰어나며 내외부 보안 방어에 의한 감시를 무력화할 수 있는 것으로 알려져 있다.
라자루스는 윈도에 사전 설치된 윈도 앱로커(Windows AppLocker)를 활성화하는 드라이버인 appid.sys 버그를 악용해 푸드모듈 변종을 설치했다. 보안 기업 어베스트에 따르면 이런 공격에서 악용된 윈도 취약점은 서드파티 소스에서 설치할 필요 없이 OS에 직접 내장되어 있기 때문에 해커에게는 성배와 같은 것이라고 한다.
이번 취약점은 2024년 초 어베스트가 비공개로 마이크로소프트에 보고했으며 수정에 6개월이 소요됐다. 관련 내용은 이곳에서 확인할 수 있다.