느린 안개余弦: CEX 해킹 사건의 공격자가 북한 해커 라자루스 그룹임을 확인했으며, 그들의 공격 방식이 드러났습니다

ChainCatcher 메시지에 따르면, 느린 안개 창립자 유선은 소셜 플랫폼에 글을 올리며 "증거 분석 및 연관 추적을 통해 우리는 CEX 해킹 사건의 공격자가 북한 해커 조직인 Lazarus Group임을 확인했습니다. 이는 암호화폐 거래 플랫폼을 겨냥한 국가 차원의 APT 공격입니다. 우리는 관련 IOC(위험 지표)를 공유하기로 결정했으며, 여기에는 일부 클라우드 서비스 제공업체, 프록시 등의 IP가 포함됩니다. 주의할 점은 이 글에서 어떤 플랫폼인지, 또는 Bybit인지에 대한 언급이 없으며, 유사한 점이 있다면 정말로 불가능한 것은 아닙니다."라고 전했습니다.

공격자는 pyyaml을 이용해 RCE(원격 코드 실행)를 수행하여 악성 코드를 배포하고, 이를 통해 목표 컴퓨터와 서버를 제어했습니다. 이러한 방식은 대부분의 안티바이러스 소프트웨어의 탐지를 우회했습니다. 파트너와 정보를 동기화한 후, 여러 유사한 악성 샘플을 확보했습니다. 공격자의 주요 목표는 암호화폐 거래 플랫폼의 인프라를 침해하여 지갑에 대한 제어권을 확보하고, 이를 통해 지갑 내의 대량 암호 자산을 불법적으로 이전하는 것입니다.

느린 안개는 Lazarus Group의 공격 방식을 밝힌 요약 기사를 발표했으며, 사회 공학, 취약점 이용, 권한 상승, 내부 네트워크 침투 및 자금 이동 등 일련의 전술을 분석했습니다. 또한 실제 사례를 바탕으로 APT 공격에 대한 방어 권고를 정리하여, 업계에 참고가 되고 더 많은 기관이 보안 방어 능력을 향상시켜 잠재적 위협의 영향을 줄일 수 있기를 희망합니다.