역사상 가장 난폭한 암호화폐 도둑단? 해커 조직 라자루스 그룹의 세탁 방식 상세 분석
본 문서는 몇 가지 전형적인 공격 사례를 집중 분석하여 Lazarus Group이 어떻게 복잡한 전략과 기술 수단을 통해 이러한 놀라운 공격을 성공적으로 수행했는지를 밝혀낼 것입니다.저자: Beosin
이전에 로이터가 입수한 유엔의 기밀 보고서에 따르면, 북한 해커 그룹인 라자루스 그룹이 지난해 한 암호화폐 거래소에서 자금을 훔친 후, 올해 3월 가상화폐 플랫폼인 토네이도 캐시를 통해 1억 4,750만 달러를 세탁한 것으로 나타났습니다.
감독관은 이전에 제출한 문서에서 유엔 안전보장이사회 제재위원회에 2017년부터 2024년 사이에 발생한 97건의 북한 해커에 의한 암호화폐 회사에 대한 사이버 공격을 조사하고 있다고 밝혔으며, 이 공격의 가치는 약 360억 달러에 달합니다. 여기에는 지난해 말 HTX 암호화폐 거래소에서 1억 4,750만 달러가 도난당한 사건이 포함되어 있으며, 이후 올해 3월에 세탁이 완료되었습니다.
미국은 2022년 토네이도 캐시에 제재를 가했으며, 2023년에는 두 명의 공동 창립자가 10억 달러 이상의 세탁을 도운 혐의로 기소되었습니다. 이 중에는 북한과 관련된 사이버 범죄 조직인 라자루스 그룹도 포함되어 있습니다.
암호화폐 탐정인 잭XBT의 조사에 따르면, 라자루스 그룹은 2020년 8월부터 2023년 10월까지 2억 달러 상당의 암호화폐를 법정 화폐로 세탁했습니다.
사이버 보안 분야에서 라자루스 그룹은 오랫동안 대규모 사이버 공격과 금융 범죄를 저지른 혐의를 받고 있습니다. 그들의 목표는 특정 산업이나 지역에 국한되지 않고, 전 세계적으로 은행 시스템, 암호화폐 거래소, 정부 기관, 민간 기업에 이르기까지 다양합니다. 다음으로, 우리는 몇 가지 전형적인 공격 사례를 분석하여 라자루스 그룹이 어떻게 복잡한 전략과 기술을 통해 이러한 놀라운 공격을 성공적으로 수행했는지를 밝힐 것입니다.
라자루스 그룹의 사회 공학 및 피싱 공격 조작
이 사례는 유럽 관련 매체의 보도에서 나온 것으로, 라자루스는 이전에 유럽과 중동의 군사 및 항공 우주 회사를 목표로 삼아 LinkedIn과 같은 플랫폼에 채용 광고를 게시하여 직원들을 속이고, 구직자에게 실행 파일이 포함된 PDF를 다운로드하도록 요구한 후 피싱 공격을 수행했습니다.
사회 공학과 피싱 공격은 심리적 조작을 이용하여 피해자가 경계를 풀고 링크 클릭이나 파일 다운로드와 같은 행동을 하도록 유도하여 그들의 안전을 위협합니다.
그들의 악성 소프트웨어는 요원이 피해자 시스템의 취약점을 겨냥하고 민감한 정보를 훔칠 수 있게 합니다.
라자루스는 암호화폐 결제 제공업체인 코인페이드에 대한 6개월간의 작전에서 유사한 방법을 사용하여 코인페이드에서 3,700만 달러를 도난당하게 했습니다.
이 활동 전반에 걸쳐, 그들은 엔지니어에게 가짜 일자리를 보내고, 분산 서비스 거부와 같은 기술 공격을 시작했으며, 여러 가능한 비밀번호를 제출하여 무차별 대입 공격을 시도했습니다.
CoinBerry, Unibright 등의 공격 사건 발생
2020년 8월 24일, 캐나다 암호화폐 거래소 CoinBerry의 지갑이 도난당했습니다.
해커 주소:
0xA06957c9C8871ff248326A1DA552213AB26A11AE
2020년 9월 11일, Unibright는 개인 키 유출로 인해 팀이 관리하는 여러 지갑에서 40만 달러의 무단 이체가 발생했습니다.
해커 주소:
0x6C6357F30FCc3517c2E7876BC609e6d7d5b0Df43
2020년 10월 6일, 보안 취약점으로 인해 CoinMetro의 핫 월렛에서 75만 달러 상당의 암호 자산이 무단으로 이전되었습니다.
해커 주소:
0x044bf69ae74fcd8d1fc11da28adbad82bbb42351
Beosin KYT: 도난 자금 흐름도
2021년 초, 여러 공격 사건의 자금이 다음 주소로 집결되었습니다:
0x0864b5ef4d8086cd0062306f39adea5da5bd2603.
2021년 1월 11일, 0x0864b5 주소는 토네이도 캐시에 3,000ETH를 입금했으며, 이후 다시 0x1031ffaf5d00c6bc1ee0978eb7ec196b1d164129 주소를 통해 1,800개 이상의 ETH를 토네이도 캐시에 입금했습니다.
그 후 1월 11일부터 1월 15일 사이에, 거의 4,500개의 ETH가 토네이도 캐시에서 0x05492cbc8fb228103744ecca0df62473b2858810 주소로 인출되었습니다.
2023년까지, 공격자는 여러 번의 전환을 거쳐 결국 다른 안전 사건 자금 집결 인출 주소로 모였습니다. 자금 추적도를 통해 공격자가 도난당한 자금을 Noones deposit address와 Paxful deposit address로 순차적으로 전송한 것을 확인할 수 있습니다.
넥서스 뮤추얼 창립자(Hugh Karp) 해킹 사건
2020년 12월 14일, 넥서스 뮤추얼 창립자 휴 카프가 37만 NXM(830만 달러)을 도난당했습니다.
Beosin KYT: 도난 자금 흐름도
도난당한 자금은 아래 몇 개의 주소 간에 이동하며, 다른 자금으로 교환되었습니다.
0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1
0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b
0x09923e35f19687a524bbca7d42b92b6748534f25
0x0784051d5136a5ccb47ddb3a15243890f5268482
0x0adab45946372c2be1b94eead4b385210a8ebf0b
라자루스 그룹은 이 몇 개의 주소를 통해 자금 혼합, 분산, 집결 등의 작업을 수행했습니다. 예를 들어, 일부 자금은 비트코인 체인으로 크로스 체인되어, 이후 일련의 전환을 통해 이더리움 체인으로 돌아오고, 그 후 믹싱 플랫폼을 통해 혼합된 후, 자금을 인출 플랫폼으로 전송했습니다.
2020년 12월 16일부터 12월 20일 사이, 하나의 해커 주소인 0x078405는 2,500ETH 이상을 토네이도 캐시에 전송했으며, 몇 시간 후, 특성 연관에 따라 0x78a9903af04c8e887df5290c91917f71ae028137 주소에서 인출 작업이 시작되었습니다.
해커는 전환 및 교환을 통해 일부 자금을 이전 사건과 관련된 자금 집결 인출 주소로 이동시켰습니다.
그 후 2021년 5월부터 7월까지 공격자는 1,100만 USDT를 Bixin deposit address로 전송했습니다.
2023년 2월부터 3월까지 공격자는 0xcbf04b011eebc684d380db5f8e661685150e3a9e 주소를 통해 277만 USDT를 Paxful deposit address로 전송했습니다.
2023년 4월부터 6월까지 공격자는 0xcbf04b011eebc684d380db5f8e661685150e3a9e 주소를 통해 840만 USDT를 Noones deposit address로 전송했습니다.
Steadefi와 CoinShift 해킹 공격
Beosin KYT: 도난 자금 흐름도
Steadefi 사건 공격 주소
0x9cf71f2ff126b9743319b60d2d873f0e508810dc
Coinshift 사건 공격 주소
0x979ec2af1aa190143d294b0bfc7ec35d169d845c
2023년 8월, Steadefi 사건에서 624개의 도난당한 ETH가 토네이도 캐시로 전송되었으며, 같은 달 Coinshift 사건에서 900개의 도난당한 ETH가 토네이도 캐시로 전송되었습니다.
ETH를 토네이도 캐시로 전송한 후, 즉시 아래 주소로 자금을 인출했습니다:
0x9f8941cd7229aa3047f05a7ee25c7ce13cbb8c41
0x4e75c46c299ddc74bac808a34a778c863bb59a4e
0xc884cf2fb3420420ed1f3578eaecbde53468f32e
2023년 10월 12일, 위의 세 주소는 토네이도 캐시에서 인출한 자금을 모두 0x5d65aeb2bd903bee822b7069c1c52de838f11bf8 주소로 전송했습니다.
2023년 11월, 0x5d65ae 주소는 자금 이동을 시작했으며, 최종적으로 중개 및 교환을 통해 자금을 Paxful deposit address와 Noones deposit address로 전송했습니다.
사건 요약
이상으로 북한 해커 라자루스 그룹의 지난 몇 년간의 동향을 소개하고 그들의 세탁 방식에 대한 분석 및 요약을 진행했습니다: 라자루스 그룹은 암호 자산을 도난당한 후, 기본적으로 크로스 체인을 통해 토네이도 캐시와 같은 믹서로 자금을 혼합하는 방식으로 자금을 혼란스럽게 합니다. 혼합 후, 라자루스 그룹은 도난 자산을 목표 주소로 인출하고, 고정된 몇몇 주소 그룹으로 전송하여 인출 작업을 수행합니다. 이전에 도난당한 암호 자산은 대부분 Paxful deposit address와 Noones deposit address에 저장되며, 이후 OTC 서비스를 통해 암호 자산을 법정 화폐로 교환합니다.
라자루스 그룹의 연속적이고 대규모의 공격으로 인해 Web3 산업은 큰 보안 도전에 직면해 있습니다. Beosin은 이 해커 그룹에 대한 지속적인 관심을 가지고 있으며, 그들의 동향과 세탁 방식을 추가로 추적하여 프로젝트 측, 규제 및 법 집행 기관이 이러한 범죄를 단속하고 도난 자산을 회수하는 데 도움을 줄 것입니다.
