위키 구독하기
Share wiki
Bookmark
UNC4736 (Citrine Sleet)
0%
UNC4736 (Citrine Sleet)
UNC4736(또는 Citrine Sleet)은 북한 소행으로 추정되는 정교한 국가 지원 지능형 지속 위협(APT) 그룹입니다. 이 그룹은 주로 금전적 이득을 목적으로 하며, 암호화폐, 탈중앙화 금융(DeFi), 핀테크 분야를 겨냥한 대규모 사이버 범죄 및 스파이 활동을 전문으로 합니다. UNC4736은 북한 정권의 자금 조달을 위해 소프트웨어 공급망 침해, 제로데이 취약점 악용, 정교한 사회 공학 기법을 포함한 복잡한 다단계 캠페인을 실행하는 것으로 알려져 있습니다. 이들의 활동은 오랫동안 지속된 암호화폐 중심 캠페인인 "Operation AppleJeus"(MITRE ATT&CK ID: G1049)와 밀접한 관련이 있습니다. [1] [2] [7]
개요
UNC4736은 여러 사이버 보안 기관에서 다양한 이름으로 추적되고 있습니다. Mandiant는 발견 당시 '미분류' 위협 그룹을 의미하는 'UNC'를 사용하여 UNC4736이라는 명칭을 부여했습니다. Microsoft는 이 행위자를 Citrine Sleet으로 추적합니다. 다른 별칭으로는 Labyrinth Chollima, Gleaming Pisces, Hidden Cobra, UNC1720 등이 있습니다. 이 그룹의 활동은 그들이 배포하는 악성코드 제품군과 위협 클러스터 자체를 모두 지칭하는 'AppleJeus' 캠페인(그룹 G1049)과도 널리 연관되어 있습니다. [3] [1] [7] [8]
이 그룹은 북한 정찰총국(RGB), 구체적으로는 121국 소속으로 분류됩니다. 악명 높은 라자루스 그룹(Lazarus Group)의 하위 클러스터로 간주되며, 또 다른 북한 행위자인 APT43(일명 'Kimusky')과 상당한 전술적 중복을 보입니다. [4] [2] [8] UNC4736의 주요 목표는 암호화폐 자산을 훔쳐 외화를 획득함으로써 북한(DPRK)이 국제 제재를 우회하고 무기 프로그램을 포함한 국가 활동 자금을 조달하도록 돕는 것입니다. 주요 공격 대상에는 암호화폐 거래소, DeFi 프로토콜, 벤처 캐피털 회사, 블록체인 기반 게임 회사, 그리고 업계 내 소프트웨어 개발자 및 경영진과 같은 고액 자산가들이 포함됩니다. [5] [9]
역사 및 주요 사건
UNC4736은 디지털 자산 산업을 겨냥한 가장 중대하고 복잡한 사이버 공격들과 연관되어 왔으며, 전술과 기술적 역량 면에서 지속적인 진화를 보여주고 있습니다.
애플제우스 작전 (2018년~현재)
2018년경 처음 식별된 "애플제우스 작전(Operation AppleJeus)" 캠페인(G1049)은 암호화폐 산업을 겨냥한 북한 행위자들의 조직적인 노력을 보여줍니다. 초기 캠페인에는 CelasTradePro 및 UnionCryptoTrader와 같이 트로이 목마가 심어져 있지만 정상 작동하는 암호화폐 거래 애플리케이션을 개발하고 배포하는 과정이 포함되었습니다. 이러한 애플리케이션은 암호화폐 기업의 투자자와 직원을 유인하기 위해 설계되었으며, 처음에는 macOS 사용자에 집중하다가 이후 Windows로 확장되었습니다. 해당 애플리케이션에는 공격자가 감시를 수행하고 자금을 훔칠 수 있도록 하는 백도어가 포함되어 있었습니다. [1] [2] [7]
3CX 공급망 침해 (2022–2023)
2023년 가장 주목받는 공급망 공격 중 하나인 이 사건은 유명 VoIP 소프트웨어 기업인 3CX를 침해한 배후로 UNC4736 그룹이 지목되었습니다. 이는 정교한 2단계 공급망 공격이었습니다. 작전은 3CX 직원이 Trading Technologies의 합법적이지만 침해된 웹사이트에서 트로이 목마가 심어진 X_TRADER 소프트웨어 패키지를 다운로드하면서 시작되었습니다. 이를 통해 공격자는 3CX 기업 네트워크에 대한 초기 접근 권한을 얻었으며, 이후 합법적인 VPN 자격 증명을 사용하여 권한을 상승시켰습니다. [3] [1] [7]
그곳에서 해당 그룹은 Windows와 macOS용 3CX 빌드 환경을 모두 침해했습니다. 그들은 3CX 데스크톱 애플리케이션의 합법적인 소프트웨어 업데이트에 악성코드를 삽입했으며, 이는 전 세계 수천 명의 3CX 고객에게 배포되었습니다. 초기 악성 업데이트는 광범위하게 퍼졌으나, 위협 행위자는 Gopuram 백도어 및 VEILEDSIGNAL 악성코드와 같은 2차 페이로드를 암호화폐 및 국방 분야의 소수 고가치 표적에만 선택적으로 배포했습니다. 이러한 선택적 타겟팅은 ICONICSTEALER와 같은 도구를 사용하여 피해자의 브라우저 데이터를 탈취하는 등 스파이 활동과 고가치 금융 절도에 명확히 집중하고 있음을 보여주었습니다. [3] [7]
Chromium 제로데이 캠페인 (2024년 8월)
2024년 8월, Microsoft 위협 인텔리전스 팀은 Citrine Sleet이 당시 공개되지 않았던 오픈 소스 Chromium 웹 브라우저 엔진의 제로데이 취약점을 적극적으로 악용하고 있다고 보고했습니다. 이 캠페인은 블록체인 개발자를 겨냥한 허위 구인 제안과 같은 사회 공학적 유인책으로 시작되는 정교한 공격 체인을 포함했습니다. [1] [4]
공격 대상은 익스플로잇 도메인인 voyagorclub[.]space로 유도되었으며, 이곳에서 원격 코드 실행을 위해 Chromium V8 JavaScript 엔진의 유형 혼란(Type Confusion) 취약점(CVE-2024-7971)이 활용되었습니다. 그 직후, 브라우저 샌드박스를 우회하고 시스템 수준의 권한을 획득하기 위해 Windows 커널 취약점(CVE-2024-38106)이 악용되었습니다. 최종 페이로드는 업데이트된 버전의 FudModule 루트킷으로, 메모리에 직접 로드되어 은밀하게 지속성을 유지하고 Microsoft Defender, Crowdstrike Falcon, HitmanPro와 같은 보안 도구를 무력화했습니다. 이후 자격 증명 및 암호화폐 자산을 탈취하기 위해 AppleJeus 트로이목마가 배포되었습니다. 이 캠페인은 가치가 높은 제로데이 익스플로잇을 확보하고 운용하는 이 그룹의 최상위 역량을 여실히 보여주었습니다. [4] [8]
레이디언트 캐피털 해킹 사건 (2024년 9월–10월)
2024년 말, UNC4736은 탈중앙화 금융(DeFi) 대출 플랫폼인 레이디언트 캐피털(Radiant Capital)을 성공적으로 공격하여 약 5,000만 달러 상당의 암호화폐를 탈취했습니다. 침입은 2024년 9월 사회 공학적 공격으로 시작되었으며, 공격자는 텔레그램에서 전직 계약자를 사칭하여 레이디언트 개발자의 신뢰를 얻었습니다. 해당 개발자는 결국 속아서 악성 ZIP 압축 파일을 다운로드하게 되었습니다. [6] [9]
악성 압축 파일에는 macOS용 악성코드 변종인 InletDrift가 포함되어 있었으며, 이는 개발자의 기기에 백도어를 설치했습니다. 초기 거점을 확보한 후, 이 그룹은 측면 이동(lateral movement)을 통해 여러 개발자의 기기를 장악하고 권한을 상승시켰습니다. 최종적으로 그들은 플랫폼의 다중 서명(multi-sig) 프로세스를 침해하여 부정 거래를 승인했으며, 2024년 10월 아비트럼(Arbitrum) 및 바이낸스(Binance) 스마트 체인에 있는 레이디언트 마켓에서 자금을 빼냈습니다. 이 그룹은 실사 점검을 통과하기 위해 정교하게 조작된 신원을 가진 제3자 중개인을 활용한 것으로 알려졌습니다. 레이디언트가 표준 보안 시뮬레이션을 사용했음에도 불구하고 공격이 성공했다는 점은 이 그룹의 공격 전술(TTP)이 지닌 기만적이고 회피적인 특성을 강조합니다. [6] [9]
드리프트 프로토콜 익스플로잇 (2025년 가을–2026년 4월)
2026년 4월 1일, 탈중앙화 거래소 드리프트(Drift) 프로토콜은 정당성을 확보하기 위해 약 100만 달러의 손실을 초래한 치명적인 익스플로잇이 발생했다고 발표했습니다. 이번 공격의 핵심은 스마트 컨트랙트의 결함이 아니라, 멀티시그(multisig) 서명자들에 대한 사회 공학적 공격이었습니다. 한 기여자는 악성 코드 저장소를 클론한 후 보안이 뚫렸으며, 또 다른 기여자는 악성 TestFlight 애플리케이션을 다운로드하도록 유도되었습니다. [12] [11] [10]
익스플로잇을 실행하기 위해 공격자들은 탈취한 멀티시그 서명자 권한을 사용하여 가공의 토큰(CarbonVote Token, 또는 CVT)을 생성하고, 이를 합법적인 담보로 상장하기 위해 사전 서명된 트랜잭션을 배포했습니다. 그들은 워시 트레이딩(자전거래)을 통해 인위적인 가격 이력을 만들어 드리프트(Drift)의 오라클이 가치 없는 토큰을 수억 달러의 가치가 있는 것으로 오인하도록 속였습니다. 4월 1일, 이러한 조작을 통해 그들은 USDC 및 JLP와 같은 약 2억 8,500만 달러 상당의 실제 프로토콜 자산을 탈취했습니다. 온체인 분석 결과, 공격을 위한 초기 자금은 제재 대상인 믹서 토네이도 캐시(Tornado Cash)에서 인출된 것과 연결되었으며, 도난당한 자금은 범행 후 솔라나(Solana)에서 이더리움(Ethereum)으로 신속하게 브리징된 것으로 나타났습니다. [11] [5] [12]
전술, 기법 및 절차 (TTPs)
UNC4736은 고도의 기술적 전문 지식과 정교한 사회 공학 기법을 결합하여 다양하고 복잡한 TTPs를 운용합니다.
사회 공학 및 정찰 (Social Engineering and Reconnaissance)
이 그룹의 운영은 종종 세심한 정찰과 장기적인 사회 공학 캠페인으로 시작됩니다.
- 장기 사기 작전 (Long-Con Operations): 이들은 Drift 프로토콜을 대상으로 한 6개월간의 작전에서 볼 수 있듯이, 신뢰를 쌓고 의심을 피하기 위해 수개월 동안 타겟과 교류합니다. 여기에는 무역 회사, 벤처 캐피털(VC) 또는 헤드헌터와 같은 합법적인 실체로 위장하는 것이 포함됩니다. [5]
- 중개인 활용: 이 그룹은 조작된 신분을 가진 비북한 국적자를 고용하여 대외적인 얼굴로 내세웁니다. 이를 통해 국제 컨퍼런스에서 대면 회의에 참석하고 실사(due diligence) 확인을 통과합니다. 이러한 페르소나는 완벽하게 조작된 고용 이력과 전문적인 네트워크의 지원을 받습니다. [5] [9] [10]
- 사칭 및 스피어피싱: 이들은 LinkedIn 및 Telegram과 같은 플랫폼에서 잘 알려진 동료나 전문가를 사칭하여 스피어피싱 공격을 수행하며, 종종 허위 구인 제안이나 기술 토론으로 피해자를 유인합니다. [6]
초기 접근 (Initial Access)
UNC4736은 대상 네트워크에 초기 진입하기 위해 다양한 방법을 사용합니다.
- 소프트웨어 공급망 침해 (Software Supply Chain Compromise): X_TRADER와 3CX의 중첩된 침해 사례에서 볼 수 있듯이 이 그룹의 대표적인 전술입니다. [3]
- 제로데이 취약점 활용 (Zero-Day Exploitation): 이 그룹은 초기 접근을 달성하기 위해 Chromium 제로데이(CVE-2024-7971)와 같이 이전에 알려지지 않은 취약점을 사용하는 능력을 보여주었습니다. [4]
- 트로이 목마화된 애플리케이션 (Trojanized Applications): 트로이 목마화된 암호화폐 거래 앱이나 npm의 악성 패키지와 같이 합법적으로 보이는 소프트웨어를 통해 악성 코드를 배포합니다. [1] [7]
- 공개 애플리케이션 취약점 이용 (Exploitation of Public-Facing Applications): VSCode 및 Cursor와 같이 널리 사용되는 개발자 도구의 취약점을 활용하여 임의 코드 실행을 수행합니다. [12] [5]
실행, 지속성 유지 및 방어 회피
네트워크 내부에 진입하면, 해당 그룹은 액세스를 유지하고 탐지를 피하기 위해 고급 기술을 사용합니다.
- 코드 서명(Code Signing): 악성 파일은 신뢰할 수 있게 보이도록 종종 도난당하거나 만료된 정당한 디지털 인증서로 서명됩니다. [3]
- 프로세스 인젝션 및 리플렉티브 로딩(Process Injection and Reflective Loading): 이 그룹은 C2 모듈을 합법적인 브라우저 프로세스의 메모리에 주입하고, DAVESHELL과 같은 오픈 소스 도구를 사용하여 페이로드를 메모리에 직접 로드함으로써 디스크 기반 탐지를 우회합니다. 또한 SigFlip 도구를 사용하여 서명을 무효화하지 않고 서명된 파일에 코드를 주입하기도 했습니다. [3]
- 페이로드 난독화 및 지연 실행(Payload Obfuscation and Delayed Execution): 페이로드는 주로 AES-256 GCM 또는 RC4와 같은 방식을 사용하여 암호화됩니다. 맬웨어는 샌드박싱 및 행위 분석을 회피하기 위해 종종 일정 기간(1~4주) 동안 휴면 상태를 유지하도록 설정됩니다. [3] [7]
- 지속성 메커니즘(Persistence Mechanisms): 이 그룹은 macOS Launch Daemons를 사용하여 POOLRAT 백도어를 유지하고, Windows에서는 IKEEXT 서비스를 통해 TAXHAUL 백도어를 로드하기 위해 DLL 검색 순서 하이재킹(DLL search order hijacking)을 사용합니다. [3]
- C2 통신(C2 Communication): 이 그룹은 GitHub 리포지토리를 사용하여 데드 드롭 리졸버(dead drop resolvers)를 호스팅했으며, C2 통신은 HTTPS를 통해 이루어지고 데이터 유출을 위해 쿠키 헤더를 사용합니다. [7]
온체인 공격 기법
UNC4736은 블록체인 특화 공격 벡터에 대한 숙련도를 입증해 왔습니다. 여기에는 오라클 조작이 포함되는데, 이 그룹은 가짜 토큰을 생성하고 가장 매매(wash trading)를 통해 인위적인 가격 이력을 만든 뒤, 프로토콜의 오라클이 가치 없는 자산에 대해 허위의 높은 가치를 등록하게 하여 이를 담보로 사용합니다. 이는 Drift 프로토콜 익스플로잇의 핵심 요소였습니다. 또한 이 그룹은 Durable Nonce 공격과 같은 기능을 활용하는 것으로 알려져 있습니다. 이 공격은 피해자가 그럴듯한 구실 하에 서명한 트랜잭션이 만료되지 않는 점을 이용하며, 공격자가 훨씬 나중에 더 유리한 시점에 이를 실행할 수 있게 합니다. [5] [11] [12]
온체인 자금 세탁
UNC4736은 도난당한 자금의 출처를 숨기기 위해 공격적이고 신속한 온체인 자금 세탁 기법을 사용합니다. 여기에는 Tornado Cash와 같이 제재 대상인 암호화폐 믹서를 사용하는 것이 포함되며, 이는 탈취 후 세탁뿐만 아니라 운영을 위한 초기 자금을 조달하는 데에도 사용되어 공격의 근원을 은폐합니다. 익스플로잇 이후, 이 그룹은 도난당한 자산을 서로 다른 블록체인(예: Solana에서 Ethereum으로) 간에 대규모 개별 트랜잭션으로 신속하게 브리징합니다. 또한, 온체인 추적을 차단하고 추적 노력을 복잡하게 만들기 위해 자금을 복잡한 일련의 트랜잭션을 통해 여러 개의 새로운 지갑으로 이동시키는 '필 체인(peel chains)'과 같은 방법을 활용합니다. [11]
악성코드 및 도구
UNC4736은 운영 과정에서 커스텀, 공유 및 오픈 소스 도구를 혼합하여 활용합니다.
| 도구 이름 | 유형 | 설명 |
|---|---|---|
| AppleJeus (G1049) | 악성코드 제품군 | 캠페인에 사용되는 악성코드의 포괄적인 명칭으로, 주로 트로이 목마화된 암호화폐 앱을 통해 전달됩니다. 암호화 자산을 훔치기 위한 최종 페이로드로 배포됩니다. [7] |
| Gopuram | 백도어 | 지속성 유지 및 데이터 절도를 위해 가치가 높은 대상을 상대로 배포되는 정교한 2단계 백도어입니다. [3] |
| POOLRAT | 백도어 | 지속성 유지를 위해 사용되는 macOS 시스템 전용 백도어입니다. [1] [7] |
| TAXHAUL | 백도어 | 데이터 유출에 사용되는 백도어로, 특히 3CX 침해 사고에서 배포되었습니다. [1] |
| FudModule Rootkit | 루트킷 | 지속성을 확보하고 보안 소프트웨어를 우회하기 위해 커널 수준에서 작동하는 정교한 데이터 전용 Windows 루트킷입니다. 업데이트된 버전은 Microsoft Defender, Crowdstrike Falcon, HitmanPro와 같은 보안 도구의 보호된 프로세스를 방해할 수 있습니다. [4] [8] |
| ICONICSTEALER | 정보 탈취 도구 | 3CX 사건 당시 감염된 시스템에서 브라우저 기록, 쿠키 및 자격 증명을 유출하기 위해 배포된 도구입니다. [3] [7] |
| InletDrift | macOS 악성코드 | Radiant Capital 해킹 사건에서 개발자 시스템에 백도어를 생성하기 위해 사용된 커스텀 악성코드 변종입니다. [6] |
| VEILEDSIGNAL | 악성코드 모듈 | 프로세스 인젝션과 Windows 명명된 파이프(named pipes)를 사용하여 통신 및 실행에 사용되는 악성코드 제품군입니다. 3CX 침해 사고의 핵심 페이로드입니다. [1] [7] |
| Kaolin RAT | 원격 제어 트로이 목마 | FudModule 루트킷을 포함한 다른 페이로드의 로더 역할을 하는 RAT입니다. [4] |
| RustBucket | 악성코드 툴체인 | Rust로 작성된 다단계 악성코드 프레임워크로, 그룹 도구 세트의 현대화를 보여줍니다. [2] |
| SigFlip | 포스트 익스플로잇 도구 | 디지털 서명을 손상시키지 않으면서 서명된 실행 파일에 코드를 삽입하는 데 사용되는 도구입니다. [3] |
관계 및 중첩
MITRE에서 **AppleJeus (G1049)**로 추적하며 Labyrinth Chollima 및 Gleaming Pisces라는 별칭으로도 알려진 UNC4736/Citrine Sleet은 북한 국가 지원 위협 행위자들의 복잡한 생태계 내에서 활동합니다. 이 그룹은 널리 라자루스 그룹(Lazarus Group)의 하위 그룹 또는 활동 클러스터로 간주되며, TEMP.hermit과도 연관되어 있습니다. 이들의 도구 세트와 인프라는 다른 북한 행위자들과 중첩되는 모습을 보이는데, 특히 FudModule 루트킷을 공유하는 Diamond Sleet과의 연관성이 두드러집니다. 최소 한 사례에서는 Citrine Sleet의 공격 대상이 이전에 다른 그룹인 Sapphire Sleet의 표적이 된 적이 있었으며, 이는 북한 해킹 부대 간의 공격 우선순위 중첩 또는 상호 협력을 시사합니다. [4] [6] [7] [8]
잘못된 내용이 있나요?