원작자: Elliptic

원문 편집: Babywhale, Foresight News

북한 해커그룹 라자루스(Lazarus)가 최근 활동을 강화한 것으로 보인다.지난 6월 3일부터 암호화폐 업체를 대상으로 한 공격이 4차례 확인됐고, 최근 암호화폐 거래소 코인엑스(CoinEx)에 대한 공격도 라자루스에 의한 소행일 가능성이 높다. 이에 대응하여 CoinEx는 여러 발행물을 발행했습니다.트윗이는 의심스러운 지갑 주소가 계속 확인되고 있어 도난당한 자금의 총 가치가 불분명하지만 5,400만 달러에 달했을 가능성이 있음을 나타냅니다.

지난 100일 동안 Lazarus는 Atomic Wallet(1억 달러), CoinsPaid(3,730만 달러), Alphapo(6천만 달러) 및 Stake.com(4,100만 달러)에서 거의 2억 4천만 달러 상당의 암호화폐를 훔친 것으로 확인되었습니다.

위와 같이 Elliptic은 CoinEx에서 도난당한 자금 중 일부가 다른 블록체인임에도 불구하고 Stake.com에서 도난당한 자금을 보관하기 위해 Lazarus 조직이 사용하는 주소로 전송된 것으로 분석했습니다. 그런 다음 자금은 이전에 Lazarus가 사용했던 크로스체인 브리지를 통해 Ethereum에 크로스체인된 다음 CoinEx 해커가 제어하는 ​​것으로 알려진 주소로 다시 전송되었습니다. Elliptic은 Lazarus 사건에서 여러 해커의 자금이 혼합되는 것을 관찰했으며, 가장 최근에는 Stake.com에서 도난당한 자금이 Atomic 지갑에서 도난당한 자금과 혼합되었을 때 발생했습니다. 다양한 해커의 자금이 결합된 사례는 아래 이미지에서 주황색으로 표시됩니다.

100일 동안 5번의 공격

2022년에는 다음을 포함하여 Lazarus가 세간의 이목을 끄는 여러 해킹이 발생했습니다.Harmony의 Horizon Bridge가 공격을 받았습니다.그리고Axie Infinity의 Ronin Bridge가 공격을 받고 있습니다.두 사건 모두 지난해 상반기에 발생했다. 그때부터 올해 6월까지 라자루스가 저지른 대규모 암호화폐 도난 사건은 공개적으로 밝혀지지 않았습니다. 따라서 지난 100여일 동안 각종 해킹 공격이 발생한 것은 북한 해커 집단이 다시 활발히 활동하고 있음을 시사한다.

2023년 6월 3일, 비수탁형 분산형 암호화폐 지갑 Atomic Wallet 사용자는 1억 달러 이상의 손실을 입었습니다. Elliptic은 북한 해킹 그룹이 책임이 있다고 지적하는 여러 요인을 판단한 후 2023년 6월 6일에 해킹을 공식적으로 지정했습니다.나사로를 비난하라, 그리고 나중에 FBI의 정보를 입수했습니다.확인하다。

2023년 7월 22일, Lazarus는 사회 공학 공격을 통해 암호화폐 결제 플랫폼인 CoinsPaid에 속한 핫 지갑에 대한 액세스 권한을 얻었습니다. 이 액세스를 통해 공격자는 플랫폼의 핫 지갑에서 약 3,730만 달러의 암호화폐 자산을 인출하기 위한 승인 요청을 생성할 수 있었습니다. 7월 26일, CoinsPaid가 출시되었습니다.보고서라자루스가 공격에 책임이 있으며 FBI를 받았다고 말했습니다.확인하다。

같은 날인 7월 22일, Lazarus는 또 다른 공격을 감행했는데, 이번에는 중앙화된 암호화폐 결제 제공업체인 Alphapo를 표적으로 삼아 암호화폐 자산 6천만 달러를 훔쳤습니다. 공격자는 이전에 유출된 개인 키를 통해 액세스 권한을 얻었을 수 있습니다. FBI가 또확인하다이 사건의 공격자는 나사로였습니다.

2023년 9월 4일, 온라인 암호화폐 도박 플랫폼 Stake.com이 공격을 받아 약 4,100만 달러 상당의 암호화폐가 도난당했습니다. 아마도 개인 키 도난으로 인한 것일 수 있습니다. FBI가 9월 6일 게시함발표, 공격의 배후에 Lazarus 조직이 있음을 확인했습니다.

마침내 2023년 9월 12일, 중앙화된 암호화폐 거래소 코인엑스(CoinEx)가 해커 공격의 피해자가 되었고 5,400만 달러가 도난당했습니다. 위에서 언급한 것처럼 여러 증거에서 나사로가 이 공격에 책임이 있음을 지적합니다.

나사로가 그의 전술을 바꿨습니까?

Lazarus의 최근 활동을 분석하면 작년부터 초점을 분산형 서비스에서 중앙형 서비스로 전환한 것으로 나타났습니다. 앞서 논의된 최근 해킹 5건 중 4건은 중앙화된 암호화폐 자산 서비스 제공업체를 표적으로 삼았습니다. 2020년 이전, DeFi 생태계가 급격하게 성장하기 이전에는 중앙화된 거래소가 Lazarus의 주요 목표였습니다.

Lazarus가 다시 한번 중앙 집중식 서비스에 관심을 돌리는 이유에 대한 몇 가지 가능한 설명이 있습니다.

보안에 더욱 집중: 2022년 DeFi 해킹에 대한 Elliptic의 이전 대응연구2022년에는 평균 4일에 한 번씩 공격이 발생해, 공격당 평균 3,260만 달러의 피해를 입은 것으로 나타났습니다. 크로스체인 브리지는 2022년 가장 흔히 해킹되는 DeFi 프로토콜 유형 중 하나가 되었습니다. 이러한 추세는 스마트 계약 감사 및 개발 표준의 개선을 촉발하여 해커가 취약점을 식별하고 악용할 수 있는 범위를 좁혔을 수 있습니다.

사회 공학에 대한 취약성: 수많은 해킹 공격에서 Lazarus Group이 선택한 공격 방법은 사회 공학이었습니다. 예를 들어, 5억 4천만 달러 규모의 Ronin Bridge 해킹은 다음과 같습니다.LinkedIn의 가짜 취업 기회를 통해 확인된 간격. 그러나 분산형 서비스는 직원 수가 많지 않은 경향이 있으며 이름에서 알 수 있듯이 다양한 수준으로 분산되어 있습니다. 따라서 개발자에 대한 악의적인 액세스 권한을 얻는 것이 반드시 스마트 계약에 대한 관리 액세스 권한을 얻는 것과 같지 않을 수도 있습니다.

동시에 중앙화된 거래소는 상대적으로 더 많은 인력을 고용하여 가능한 목표 범위를 확대할 가능성이 높습니다. 또한 중앙집중화된 내부 정보 기술 시스템을 사용하여 운영될 수도 있으므로 Lazarus 악성 코드가 비즈니스에 침투할 가능성이 더 커집니다.