마이크로소프트 보안 응답 센터는 북한 사이버 공격 단체인 UNC4736(Citrine Sleet)가 브라우저 엔진인 크로뮴(Chromium) 취약점 CVE-2024-7971을 악용해 원격 코드 실행을 위한 제로데이 익스플로잇을 수행했다고 보고했다. 이곳은 암호화폐를 탈취하기 위해 금융 기관 등 여러 조직을 표적으로 삼은 것으로 보인다.
CVE-2024-7971은 크로뮴 기반 브라우저에서 사용되는 자바스크립트 엔진인 V8에서 발생한 유형 혼동에 의한 제로데이 취약점으로 공격자가 의도적으로 브라우저 충돌을 일으키거나 디바이스에서 임의 코드를 실행할 수 있는 익스플로잇이 가능하다.
이 CVE-2024-7971은 지난 8월 21일 크롬 보안 업데이트(버전 128.0.6613.84)를 통해 수정됐다. 하지만 마이크로소프트 보안 응답 센터에 따르면 CVE-2024-7971이 취약점으로 수정되기 전인 8월 19일 이미 이 취약점을 이용한 공격 흔적이 확인됐다고 한다.
마이크로소프트 보안 응답 센터는 Citrine Sleet가 이번 공격 배후라고 중간 정도 확신을 갖고 결론을 내렸다고 보고했다. Citrine Sleet는 북한 정찰총국 제121국과 관련된 사이버 공격 단체로 금융 기관이나 개인을 대상으로 암호화폐를 관리하는 플랫폼을 가장한 가짜 사이트나 가짜 암호화폐 거래 애플리케이션으로 유도해 자산을 탈취해 왔다.
이번 공격에서 Citrine Sleet는 가짜 페이지로 타깃을 유도했다. 이 가짜 페이지에 접속하면 타깃 디바이스는 CVE-2024-7971 익스플로잇에 의해 FudModule이라는 루트킷을 실행하게 된다. 이 루트킷은 다양한 보안 소프트웨어 탐지를 회피하기 위해 커널을 조작하는 기능을 갖고 있으며 타깃이 모르게 디바이스 내 데이터를 외부 서버로 업로드할 수 있게 한다.
마이크로소프트 보안 응답 센터는 표적이 되어 보안이 침해된 고객에게는 통보를 완료했다고 밝혔지만 표적이 된 고객 신원이나 Citrine Sleet 공격으로 인한 피해 규모에 대해서는 구체적인 내용을 공개하지 않았다. 또 구글 측은 CVE-2024-7971이 수정됐다는 걸 확인하면서도 추가 언급은 하지 않았다.
한편 보도에 따르면 이번 Citrine Sleet 공격 대상이 된 조직 중 하나는 과거 또 다른 북한 사이버 공격 단체인 BlueNoroff 표적이 된 적이 있다고 한다. 관련 내용은 이곳에서 확인할 수 있다.