라자루스 해커, 가짜 NFT 게임을 사용하여 크롬의 제로데이 취약점 악용

사이버 보안 업체인 카스퍼스키가 북한의 해킹 그룹인 라자루스가 주도하는 고도로 정교한 암호화폐 표적 악성 캠페인을 발견했다.

수요일에 공개된 이 캠페인은 라자루스 그룹이 가짜 블록체인 기반 게임을 사용하여 구글 크롬의 제로데이 취약점을 악용했다. 이번 해킹은 스파이웨어를 설치하여 지갑 자격 증명을 훔치는 것으로 밝혀졌다.

2024년 5월 카스퍼스키의 글로벌 연구 및 분석 팀이 확인한 이 공격의 발견은 발리에서 열린 2024 보안 분석가 서밋에서 발표되었다.

분석 결과, 이 악성 캠페인은 암호화폐 투자자를 표적으로 삼기 위해 사회 공학 기술과 생성 AI를 사용한 것으로 밝혀졌다.

카스퍼스키의 수석 보안 전문가인 보리스 라린은 “해커들은 구글 크롬 제로데이를 악용하고 표적 시스템을 감염시키기 위해 완전한 기능을 갖춘 게임을 위장막으로 사용함으로써 일반적인 전술을 뛰어넘었다.”라고 말했다.

“라자루스와 같은 악명 높은 해커들은 소셜 네트워크나 이메일의 링크를 클릭하는 것과 같이 무해해 보이는 행동도 개인 컴퓨터나 기업 네트워크 전체를 완전히 손상시킬 수 있다.”

라린은 이 캠페인의 실제 영향력은 훨씬 더 커서 전 세계 사용자와 기업에 영향을 미칠 수 있다고 덧붙였다.

카스퍼스키, 해커들은 가짜 게임 웹사이트를 사용하여 취약점을 악용했다

사이버 보안 전문가 팀에 따르면 라자루스 그룹은 두 가지 취약점을 악용했다. 여기에는 구글의 오픈 소스 및 웹 어셈블리 엔진의 V8 자바스크립트에서 알려지지 않은 버그가 포함됐다. 구글은 나중에 카스퍼스키의 보고에 따라 해당 취약점을 수정했다.

“이를 통해 해커들은 임의의 코드를 실행하고 보안 기능을 우회하며 다양한 악의적인 활동을 수행할 수 있게 되었다.” 이는 연구 결과 밝혀진 사실이다.

이 가짜 블록체인 기반 게임은 사용자들을 전 세계에서 NFT 탱크로 경쟁하도록 초대했다. 악명 높은 이 그룹은 진짜처럼 보이도록 소셜 미디어와 링크드인 홍보 활동을 설계하고 게임을 홍보했다. 또한 신뢰도를 높이기 위해 AI로 생성된 이미지를 만들기도 했다.

또한 해커들은 홍보를 위해 암호화폐 인플루언서들의 참여를 유도하기도 했다.

해커들이 소셜 미디어에 게임을 출시한 직후, 실제 게임 개발자는 자신의 지갑에서 2만 달러의 암호화폐가 이체되었다고 주장했다.

전문가들은 가짜 게임이 원본의 로고와 시각적 품질을 정확히 반영했다고 주장했다. 결과적으로 라자루스 해커들은 자신들의 공격에 신빙성을 부여하기 위해 많은 시도를 이어 나아갔다.

또한 해커들은 원본 버전의 모든 참조를 사용하여 훔친 소스 코드를 사용하여 가짜 NFT 게임을 만들기도 했다.