Windows의 제로데이 취약성이 북한에 악용되어 맬웨어를 설치하는 고도의 루트킷이 개발되고 있었다

Windows의 제로데이 취약성이 북한에 악용되어 맬웨어를 설치하는 고도의 루트킷이 개발되고 있었다

윈도우의 제로데이 취약성이 북한에서 활동하는 해커에 의해 악용되어 매우 스텔스성이 높은 고도의 악성코드가 실제로 사용자에게 설치되어 있었던 것으로 밝혀졌습니다.

문제의 취약성은 CVE-2024-38193으로, 마이크로소프트는 "윈삭용 윈도우 앤실리 펑션 드라이버 특권 승격의 취약성"이라고 설명하고 있습니다. Microsoft에 의하면, 공격자가 이 취약성의 악용에 성공하면 시스템 권한을 취득하는 것이 가능하다고 합니다. Microsoft는 이미 패치를 적용했지만 악용된 흔적이 확인되었습니다.

Microsoft는 취약성이 활발하게 악용되고 있음을 경고하였지만, 공격의 배후에 있는 인물이나 최종적인 목적에 대한 자세한 내용은 밝히지 않았습니다. 그런데 보안업체 Gen의 연구원들에 의해 공격이 북한에 기반을 둔 범죄자 그룹 'Lazarus'의 일원이라는 사실이 밝혀졌습니다.

Gen에 따르면, Lazarus는 AFD.sys 드라이버라고 부르는 "Windows의 중요한 부분에 숨겨진 보안결함"을 악용하였으며, 이 결함으로 공격자는 정상적인 보안제한을 회피하고 대부분의 사용자나 관리자가 접근할 수 없는 기밀시스템 영역에 접근할 수 있었다고 합니다.

공격의 목적은 가상화폐 엔지니어링이나 항공우주 분야에서 일하는 사람들 등 기밀성이 높은 분야의 개인을 타깃으로 고용주의 네트워크에 접속해 공격자의 활동자금이 되는 가상화폐를 훔치는 것이었다고 Gen은 분석하고 있습니다. Gen의 연구자는 "이런 종류의 공격은 교묘하고 재치가 있어 암시장에서 수 십만달러의 피해를 낼 가능성이 있습니다"라고 말했습니다.

조사에 의하면, Lazarus는 「루트 키트」로서 알려진 멀웨어의 일종 「FudModule」을 인스톨시키기 위해서 취약성을 악용하고 있었다고 합니다. Fud Module은 Windows의 기밀영역에서 작동하는 능력이 뛰어나고, 내부 및 외부보안 방어를 통한 감시를 무효화하는 것이 가능한 것으로 알려져 있습니다.

Lazarus는 Windows에 프리인스톨 되어 있는 「Windows AppLocker」를 유효하게 하는 드라이버 「appid.sys」의 버그를 악용해, Fud Module의 아류종을 인스톨 했습니다. 보안업체 Avast에 따르면 이러한 공격으로 악용된 Windows의 취약성은 타사 소스에서 설치할 필요 없이 OS에 직접 내장되어 있기 때문에 해커에게는 '성배와 같은 것'이라고 합니다.

이번 취약점은 2024년 초 어베스트가 비공개로 마이크로소프트에 보고하면서 수정에 6개월이 소요됐습니다.

*재미있거나 도움이 되셨다면 '구독' 꾹 눌러 주시기를 부탁드립니다. 늘 행복하세요.

 

Gen Blogs | Safeguarding Digital Freedom: How a Gen Discovery Helped to Protect Windows Users Everywhere
https://www.gendigital.com/blog/news/innovation/protecting-windows-users

Windows 0-day was exploited by North Korea to install advanced rootkit | Ars Technica
https://arstechnica.com/security/2024/08/windows-0-day-was-exploited-by-north-korea-to-install-advanced-rootkit/

Windows 0-day was exploited by North Korea to install advanced rootkit