깃허브서 유용한 유틸리티로 위장한 도구에 악성코드 숨겨 유포
[데이터넷] 북한 공격자들이 보안 연구원을 표적으로 제로데이 익스플로잇을 사용해 위협 캠페인을 진행하고 있는 정황이 발견됐다.
구글 위협분석그룹(TAG)에 따르면 이들은 트위터(현 X) 등 SNS를 통해 보안 연구원과 친분을 쌓은 후 왓츠앱, 와이어 등 암호화된 메시징 앱을 통해 제로데이가 포함된 악성파일을 보내 타깃을 감염시킨다.
이러한 유형의 공격은 2021년 1월부터 꾸준히 발견되고 공개되어 왔으며, TAG는 이들이 또 다른 제로데이를 이용하고 있는 것을 발견해 분석하고 있다고 밝혔다. 이 제로데이에 대해서는 공급업체가 패치를 진행하고 있으며, TAG는 보안 연구원들이 이러한 공격의 영향을 받지 않기 위해 주의해야 한다는 사실을 알리기 블로그를 통해 분석된 내용을 공개했다고 설명했다.
TAG에 따르면 공격자는 보안 연구원에게 왓츠앱 등을 통해 인기있는 소프트웨어 패키지를 전송했는데, 여기에는 하나 이상 제로데이가 포함된 악성파일이 포함돼 있다. 이 악성파일은 사용자 기기에 샌드박스 등의 보안 솔루션이 있는지 확인한 후 이 정보를 스크린샷과 함께 공격자가 제어하는 명령 및 제어 도메인으로 보낸다.
그리고 공격자들은 마이크로소프트, 구글, 모질라, 시트릭스 등의 디버깅 기능을 분석하기 위한 윈도우 도구를 개발했으며, 이를 이용해 리버스 엔지니어링으로 취약점을 찾아냈다. 이 도구는 지난해 9월 깃허브에 처음 게시됐으며, 이후 여러 차례 업데이트가 진행됐다. 이 도구는 소프트웨어 문제를 디버깅하거나 취약성 조사를 할 때 도움이 되는 바이너리 정보를 제공하는 유용한 유틸리티인 것처럼 소개하고 있다. 여기에는 공격자가 제어하는 도메인에서 임의의 코드를 다운로드하고 실행할 수 있는 기능이 포함돼 있다.
TAG는 이번 분석 결과를 구글 제품에 반영해 악성 사이트와 도메인 접속을 차단하며, 지메일·워크스페이스 사용자에게 알려 위협 행위자의 공격 시도를 피할 수 있도록 돕고 있다고 밝혔다.
