[데이터넷] 트렌드마이크로는 마이크로소프트 디펜더 취약점(CVE-2024-21412)을 악용하는 사이버 위협 그룹 워터 하이드라(Water Hydra)의 활동에 주의해야 한다고 16일 밝혔다. 이 취약점은 트렌드마이크로의 제로 데이 이니셔티브(ZDI)기 12월 31일 발견해 마이크로소프트에 알린 것으로, 트렌드마이크로는 1월 17일부터 가상패치를 통해 고객을 보호하고 있다.

이 취약점은 이전에 패치된 마이크로소프트 디펜더 스마트스크린 취약점(CVE-2023-36025)을 우회하는 것이며, 이를 악용하는 워터 하이드라는 다크미(DarkMe) 악성코드를 감염시켜 금융 소비자를 공격한다.

다크카지노(DarkCasino)라고도 불리는 워터 하이드라는 전 세계 은행과 암호화폐 플랫폼, 외환과 주식거래 플랫폼, 도박 사이트, 카지노 등을 공격하고 있으며, 2022년부터 다크미라는 비주얼베이직 원격 액세스 도구(RAT)를 이용해 침해활동을 하고 있다. 이들은 제로데이 취약점을 악용하는 상당한 수준의 정교한 공격 기술을 갖고 있다.

외환거래 참여하는 트레이더 대상 공격

트렌드마이크로 분석에 따르면 디펜더 취약점 CVE-2024-21412을 악용하는 워터 하이드라는 외환거래 포럼, 주식거래 텔레그램 채널에서 사회공학 기법의 스피어피싱으로 사용자를 감염시킨다. 이들은 그래프 기술 분석을 중심으로 한 거짓된 주식·암호화폐 정보와 도구 공유 등을 제안하며, 트로이목마가 포함된 주식 차트를 URL과 함께 제공한다. 또한 피해자가 악성 인터넷 바로가기 파일을 클릭하도록 유도한다.

트렌드마이크로는 금전목적 혹은 국가기반 공격자가 이러한 취약점을 악용할 수 있다으며, 특히 고액 외환거래 시장에 참여하는 트레이더를 공격하고 있다고 경고했다.

트렌드마이크로 ZDI는 제로데이 취약점을 가장 빠르고 정확하게 탐지하는 조직이며, 트렌드마이크로는 ZDI를 통해 발견한 취약점에 대해 가상패치를 제공하며, 정식으로 취약점 패치가 배포되기 평균 51일 전부터 고객을 보호한다. 다른 공급업체가 실제로 고객을 보호하는데 걸리는 평균 시간은 96일이다. 2023년 모든 가상 패치를 적용한 트렌드마이크로 고객은 평균 100만 달러의 비용을 절감한 것으로 추산된다.

케빈 심저(Kevin Simzer) 트렌드마이크로 최고운영책임자(COO)는 “제로데이 취약점은 위협 공격자들이 목표를 달성하기 위해 점점 더 많이 사용하는 방법이며 이것이 바로 우리가 위협 인텔리전스에 집중적으로 투자하는 이유 중 하나이다. 이를 통해 공급업체의 공식 패치가 출시되기 몇 달 전부터 고객을 보호할 수 있다”고 말했다.

한편 트렌드마이크로 XDR 플랫폼 ‘트렌드 비전 원(Trend Vision One)’은 중요한 취약점을 자동으로 식별하고 영향을 받는 모든 엔드포인트와 조직의 전체 리스크에 미칠 수 있는 영향에 대한 가시성을 제공한다. 이를 통해 위험 관리에 대한 사전 예방적 접근 방식으로 공개 당일에 사후 대응 조치를 취할 필요성을 줄이고 고객이 안심하고 위험을 완화할 수 있도록 만반의 준비를 갖출 수 있게 한다.

김선애 기자 다른기사 보기