요약 : 보안 외신 블리핑컴퓨터에 의하면 북한의 라자루스(Lazarus)가 가짜 디파이(DeFi) 기반 게임을 통해 크롬의 제로데이 취약점을 익스플로잇 하고 있다고 한다. 문제의 취약점은 CVE-2024-4947로, 보안 업체 카스퍼스키(Kaspersky)가 지난 5월에 이러한 사실을 발견해 구글에 알렸고, 구글은 그 달에 곧바로 패치를 개발해 배포했다. 라자루스는 디탱크존(DeTankZone)이라는 가짜 게임을 광고하기 위한 웹사이트를 개설했고, 이 사이트를 통해 CVE-2024-4947을 익스플로잇 하여 매뉴스크립트(Manuscrypt)라는 백도어를 퍼트렸다고 한다. 게임 광고는 각종 소셜미디어를 통해 노출됐었다.


배경 : 매뉴스크립트는 일종의 백도어로, 이번 캠페인에서 라자루스가 사용한 건 매뉴스크립트의 또 다른 변종인 것으로 분석됐다. 라자루스는 매뉴스크립트를 수년 동안 사용해 왔다. 이번 캠페인의 표적은 특정 지역이나 계층의 인물들로 분류되지 않고 있다. 무작위의 사람들을 노린 것인데, 이는 평소 라자루스와는 조금 다른 행태다.

말말말 : “이 공격에 사용된 게임은 오픈소스 게임인 디파이탱크랜드(DeFiTankLand)를 살짝 개조한 것이었습니다. 게임 파일을 다운로드 하면 배경에서 백도어가 설치됩니다.” -카스퍼스키-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>