북한의 라자루스 그룹(Lazarus Group) 해커들이 바카라노하우 웹사이트를 방문하는 이용자 PC에 멀웨어를 감염시키고 암호화폐를 훔쳤다. 현재는 수정된 구글 크롬 브라우저의 버그를 악용했다. 러시아에 있는 개인의 컴퓨터를 포함하여 실제로 수행된 공격은 '제한적'이라고 말했다.
카스퍼스키 시큐리티 보고서
에서 러시아 보안 분석가 보리스 라린(Boris Larin)과 바실리 베르드니코프(Vasily Berdnikov)는 라자루스 그룹의 해커들이 2024년 2월부터 크롬 브라우저를 사용하여 P2E(Play to Earn) 성격의 NFT 바카라노하우을 홍보하는 악성 웹사이트를 통해 PC에 "Manuscrypt" 멀웨어를 설치하여 피해자의 시스템을 제어한 것으로 추정했다.
이 공격은 크롬 브라우저의 제로데이 취약점을 악용하여 원격 코드 실행(RCE)을 수행하여 웹사이트가 로드될 때 피해자 PC를 감염시켰다. 이 취약점으로 공격자는 이용자의 암호화폐 지갑에 접근할 수 있었다. 이 스크립트는 크롬의 V8 자바스크립트 엔진의 치명적인 버그인 '타입 혼동 버그'라는 것을 악용하여 샌드박스 보호를 우회하고 원격 코드 실행을 가능하게 했다.
이 익스플로잇에는 두 가지 취약점에 대한 코드가 포함되어 있는데 하나는 공격자가 자바스크립트()에서 크롬 프로세스의 전체 주소 공간에 액세스할 수 있도록 허용하고 두 번째는 V8 샌드박스를 우회하여 레지스터 어레이 경계 외부의 메모리에 액세스할 수 있도록 허용했다.
구글은 2024년 3월에 V8 자바스크립트와 웹어셈블리(WebAssembly) 엔진의 유형 혼동 버그인 CVE-2024-4947을 패치했지만 공격자가 더 일찍 이를 발견하고 제로데이로 무기화했는지 아니면으로 악용했는지는 불분명하다.
2024년 5월에 익스플로잇을 발견한 카스퍼스키 연구원들은 결함을 발견하자마자 구글에 보고했다. 보고 후 12일 만에 구글은 했다. 공격을 가능하게 한 크롬 브라우저의 결함은 2023년 말에 크롬 버전 117에서 코드를 더 빠르게 처리하기 위한 새로운 최적화 컴파일러인 Maglev에서 의도치 않게 도입되었다.
디탱크존, 가짜 블록체인 바카라노하우
디탱크존(DeTankZone)이라는 이 가짜 블록체인 바카라노하우은 플레이어가 NFT 탱크를 운전하여 다른 사람들과 싸우고 암호화폐나 다른 NFT로 추정되는 '보상'을 얻을 수 있다고 홍보했다. 보고서에 따르면 이 바카라노하우은 웹사이트의 index.tsx 파일 중 하나에 원격 코드 실행(RCE)이 저장되어 있었다. 이 바카라노하우은 멀티플레이어 온라인 배틀 아레나(MOBA) 설정에서 디파이(DeFi) 요소와 NFT를 결합한 바카라노하우이었다.
이 사기 수법에서 놀라운 점은 이 바카라노하우의 웹사이트가 실제로 디파이탱크랜드(DeFiTankLand)라는 암호화폐 프로젝트의 유니티(Unity)를 기반으로 구축된 실제 바카라노하우을 참고했다는 점이다. 로고, 헤드업 디스플레이, 3D 모델과 같은 바카라노하우 플레이 요소들이 실제 작동했다.
카스퍼스키 연구원들은 로그인 화면에 문제가 있었음에도 불구하고 바카라노하우의 '베타' 버전을 다운로드해서 봇과 대결할 수있었다. 하지만 이 베타 버전은 2000년대 초반의 바카라노하우처럼 촌스러운 스타일이었다. 바카라노하우을 실행하면 멀웨어, 손상된 PC, 빈 암호화폐 지갑만 받게 된다. 웹사이트를 방문하는 것만으로도 사람의 지갑 자격 증명을 포함한 민감한 정보가 수집되어 라자루스가 암호화폐 절도를 실행할 수 있다.
SNS 홍보 활동
공격자들은 광범위한 소셜미디어 홍보 방식을 활용했다. 해커는 @collectspin 과 @DeTankZone 을 포함한 계정들로 바카라노하우을 홍보하기 위해 여러 개의 가짜 X 계정을 만들기까지 했다. 'CollectSpin' X 계정은 2024년 4월 이후로 게시되지 않았다. DeTankZone 계정은 삭제되기 전에 6,000 명 여상의 팔로워와 5,000 개 이상의 게시물이 있었다.
X의 데이터에 따르면 이 계정은 2019년에 생성되었다. 이는 사기 계획을 위해 용도가 변경된 해킹된 계정일 수 있다. 두 계정 모두 이용자에게 지속적으로 'DM'을 요청했는데 이는 암호화폐 사기꾼이 피해자가 악성 링크를 클릭하거나 파일을 다운로드하도록 유인하기 위해 이용하는 일반적인 수법이다. 다른 암호화폐 계정들에게 이를 홍보해 달라고 요청했는데 이는 이 바카라노하우이 합법적으로 보이는데 도움이 되었을 것이다. X와 링크드인에 잘 알려진 암호화폐 인플루언서를 참여시켜 Ai 가 생성한 마케팅 자료를 배포함으로써 문제의 바카라노하우을 홍보했다.
라자루스 그룹과 북한의 암호화폐 해킹 활동
라자루스 그룹은 최소 2009년부터 활동해 온 북한의 사이버 범죄 조직이다. 처음에는 금융 기관과 정부 기관에 대한 정교한 공격으로 인정받은 이후 암호화폐 부문에 중점을 두고 수년에 걸쳐서 해킹을 하고 있다. 이 그룹은 다양한 하위 그룹으로 운영되며 블루노르오프(BlueNoroff)는 특히 암호화폐 절도를 통한 재정적 이익에 중점을 둔 주목할만한 하위 그룹 중 하나다.
북한 해커들은 암호화폐 절도를 국가 수입원으로 삼아 2023년 한 해에만 6억 달러를 탈취했다. 미국 사이버보안 회사인 레코디드 퓨처(Recorded Future)의 연구에 따르면 2017년 이후 30억 달러 상당의 암호화폐를 훔쳤다.
2024년 4월 온체인 조사업체 자크XBT는 2020년에서 2023년 사이에 발생한 25건 이상의 암호화폐 해킹으로 2억 달러 이상을 챙겼다. 미국 재무부는 2022년 악명 높은 로닌 브릿지 해킹으로 라자루스 그룹이 6억 달러 이상의 이더(ETH)와 USDC를 훔쳤다고 밝혔다. 21Shares의 모회사인 21.co가 2023년 9월에 수집한 데이터에 따르면 비트코인, 바이낸스코인(BNB), 아발란체(AVAX), 폴리곤(MATIC)을 포함한 다양한 암호화폐로 4,700만 달러 이상을 탈취했다.
press@trendw.kr