국가 수준의 APT(Advanced Persistant Threat) 조직은 국가적 배경을 바탕으로 지원되는 최고의 해커 그룹으로, 특정 대상에 대해 장기적이고 지속적인 사이버 공격을 수행하는 데 특화되어 있습니다. 북한 APT 조직인 라자루스 그룹(Lazarus Group)은 매우 활동적인 APT 그룹으로 공격 목적이 주로 자금을 탈취하는 것이므로 글로벌 금융기관에 가장 큰 위협이다. 암호화폐 분야.
1. 나사로 그룹
위키피디아 정보에 따르면 라자루스그룹은 2007년 설립됐으며 북한 인민군 총참모부 정찰총국 제3국 산하 110연구센터에 소속돼 있으며 사이버전을 전문으로 하고 있다. 조직은 2개의 부서로 나누어져 있으며, 그 중 하나는 BlueNorOff(APT 38이라고도 함)로 약 1,700명의 회원을 보유하고 있으며, SWIFT 주문을 위조하여 불법 이체를 담당하고, 금전적 이익을 위해 네트워크 취약점을 악용하거나 시스템을 제어하여 금융 사이버 범죄를 저지르는 데 중점을 두고 있습니다. 범죄 이 세그먼트는 금융 기관 및 암호화폐 거래소를 대상으로 합니다. 또 다른 단체인 AndAriel은 약 1,600명의 회원을 보유하고 있으며 한국을 타겟으로 하고 있습니다.
라자루스 그룹의 가장 초기 알려진 공격 활동은 2009년 DDoS 기술을 이용해 한국 정부를 공격한 트로이 목마 작전이다. 가장 유명한 사건은 2014년 북한 지도자 김정은 암살을 다룬 코미디 영화 개봉과 관련해 소니 픽처스에 대한 공격이었습니다.
조직의 자회사인 BlueNorOff의 잘 알려진 공격은 2016년 방글라데시 은행 공격이었습니다. 그들은 SWIFT 네트워크를 사용하여 중앙은행에 속한 뉴욕 연방준비은행 계좌에서 약 10억 달러를 불법 이체하려 했습니다. 방글라데시의. 몇 건의 거래가 완료된 후(2천만 달러는 스리랑카에서, 8100만 달러는 필리핀에서 추적됨) 철자 오류로 인한 의혹을 이유로 뉴욕 연준은 나머지 거래를 차단했습니다.
2017년부터 이 그룹은 암호화폐 산업을 공격해 최소 10억 달러의 수익을 올렸습니다.
2. 기술적, 전술적 방법 분석
2.1 일반적인 공격 방법 분석
초기에는 Lazarus가 표적에 대한 DDos 공격을 수행하기 위해 주로 봇넷을 사용했지만 이제는 주요 공격 방법이 작살 공격, 워터링 홀 공격, 공급망 공격 및 기타 기술로 전환되었으며 다양한 대상에 대한 표적 사회 공학 공격도 사용합니다. .
전술적 특성:
(1) 이메일 하푼 공격과 워터링 홀 공격을 활용하라
(2) 공격 프로세스에서는 시스템 손상 또는 랜섬웨어 애플리케이션 간섭 이벤트 분석을 사용합니다.
(3) 측면 이동 및 페이로드 전달을 달성하기 위해 SMB 프로토콜 취약성 또는 관련 웜 도구를 활용합니다.
(4) 자금을 훔치기 위해 은행 SWIFT 시스템을 공격합니다.
기술적 인 특성:
(1) RC 4, AES, Spritz 및 기타 표준 알고리즘을 포함한 여러 암호화 알고리즘을 사용하고 XOR 및 사용자 정의 문자 변환 알고리즘도 사용합니다.
(2) SNI 레코드에 흰색 도메인 이름을 기재하여 IDS를 우회하기 위해 주로 허위로 구성된 TLS 프로토콜을 사용합니다. 또한 IRC, HTTP 프로토콜을 사용합니다.
(3) MBR, 파티션 테이블을 파괴하거나 섹터에 가비지 데이터를 기록하여 시스템을 파괴합니다.
(4) 자체 삭제 스크립트 사용
공격 방법:
(1) 하푼어택(Harpoon Attack) : 하푼어택(Harpoon Attack)은 컴퓨터 바이러스를 일컫는 용어로, 해커의 공격 방법 중 하나이다. 트로이목마 프로그램은 매우 유혹적인 이름의 이메일에 첨부파일로 전송되어 대상 컴퓨터로 전송되어 피해자가 첨부파일을 열도록 유도하여 트로이목마를 감염시킨다. 라자루스는 주로 악성 문서가 담긴 이메일을 미끼로 사용하는데, 일반적인 파일 형식은 DOCX이며 나중에 BMP 형식이 추가됐다. 침입 방법은 주로 악성 매크로, 오피스 공통 취약점, 제로데이 취약점, RAT 이식 기법 등을 활용한다.
(2) 워터링 홀 공격(Watering Hole Attack) : 이름에서 알 수 있듯이 피해자의 유일한 경로에 워터링 홀(트랩)을 설치하는 방식으로, 가장 일반적인 방법은 해커들이 공격 대상의 인터넷 활동 패턴을 분석해 해당 웹 사이트를 찾아내는 것이다. 공격 대상이 자주 방문하므로 웹 사이트의 약점을 탐지하려면 먼저 웹 사이트를 파괴하고 공격 코드를 이식해야 합니다. 공격 대상이 해당 웹 사이트를 방문하면 공격됩니다. 라자루스는 주로 가난하거나 낙후된 지역의 소규모 금융 기관을 대상으로 워터링 홀 공격을 사용하여 단기간에 대규모 자금을 훔칠 수 있습니다. 2017년 Lazarus는 폴란드 금융 규제 기관을 대상으로 워터홀 공격을 감행하고 공식 웹사이트에 악성 JavaScript 취약점을 심어 많은 폴란드 은행에 악성 프로그램을 심었습니다. 이 공격은 31개국 104개 조직을 감염시켰으며, 대부분은 폴란드, 칠레, 미국, 멕시코, 브라질에 위치한 금융 기관을 표적으로 삼았습니다.
(3) 사회공학적 공격: 사회공학적 공격은 일종의 이용이다."사회 공학"사이버 공격을 수행하기 위해. 컴퓨터 과학에서 사회 공학은 다른 사람의 심리에 영향을 미치거나 특정 조치를 취하거나 일부 기밀 정보를 공개하기 위해 다른 사람과 합법적으로 소통하는 방법을 말합니다. 이는 일반적으로 정보를 수집하고 사기를 저지르고 컴퓨터 시스템을 해킹하기 위해 타인을 속이는 행위로 간주됩니다. 라자루스는 공격주기에 사회공학적 기법을 잘 적용하는데, 미끼가 전달되든 위장된 신원이든 피해자는 이를 식별하지 못하고 함정에 빠진다. 2020년에 Lazarus는 LinkedIn에서 암호화폐 직원을 모집하는 척하고 대상 암호화폐를 훔치기 위해 자격 증명을 얻기 위해 설계된 악성 문서를 보냈습니다. 2021년 라자루스는 네트워크 보안 담당자로 트위터에 숨어 동료를 공격하기 위해 악성 코드가 포함된 엔지니어링 파일을 보낼 기회를 기다렸습니다.
병기고:
Lazarus가 사용하는 사이버 무기에는 수많은 맞춤형 도구가 포함되어 있으며 사용된 코드에는 많은 유사점이 있습니다. 이러한 소프트웨어는 동일한 개발자가 개발했다고 해도 무방하며, 이는 Lazarus 뒤에 일정한 규모의 개발 팀이 있음을 보여줍니다. 라자루스가 보유한 공격 능력과 툴로는 DDoS 봇넷, 키로거, RAT, 와이퍼 악성코드 등이 있으며, 사용되는 악성코드로는 Destover, Duuzer, Hangman 등이 있다.
2.2 일반적인 공격 이벤트 분석
다음은 암호화 산업을 겨냥한 대표적인 라자루스 작살 공격의 예이다. Lazarus는 이메일 첨부 파일이나 링크를 사용하여 대상 작업자가 악성 압축 패키지를 다운로드하고 압축 패키지에 있는 악성 파일을 실행하도록 유도합니다.
메일 말미의 CoinbaseJobDescription은 악성링크로 사용자의 클릭을 유도하며, 사용자가 이를 클릭하면 악성 압축패키지를 다운로드하고 압축패키지 안의 악성파일을 실행하게 됩니다. 압축된 패키지는 세 가지 상황으로 구분됩니다.
(1) 악성 명령이 포함된 암호화된 미끼 파일과 LNK 파일을 해제합니다. LNK 파일은 후속 페이로드를 다운로드하고 후속 페이로드는 파일 키와 악성 스크립트를 해제합니다.
(2) LNK 파일을 해제하고, LNK 파일은 후속 페이로드를 다운로드하며, 후속 로드는 미끼 파일과 악성 스크립트를 해제합니다.
(3) 매크로가 포함된 OFFICE 파일을 해제하면 악성 매크로에 의해 후속 페이로드가 다운로드되어 실행됩니다.
분석을 위한 예로 샘플 b94a13586828f8f3474f7b89755f5e7615ff946efd510a4cca350e6e1b4af440을 사용합니다. 샘플 파일명은 Ledger_Nano_SX_Security_Patch_Manual.zip으로 zip으로 압축된 패키지이며, 파일명에 포함된 LedgerNano는 암호화된 자산을 보호하는 데 사용되는 하드웨어 지갑이며, S와 X는 모델번호입니다.
본 샘플은 LedgerNano 보안 패치 매뉴얼로 위장되어 있으며, 압축 해제 후 pdf 파일로 위장한 바로가기 파일이 공개됩니다.
사용자가 바로가기를 두 번 클릭하면 다음 명령이 실행됩니다.
이 명령에서 cmd를 사용하여 확장 프로그램을 자동으로 실행하고 msiexec.exe를 %appdata%\pat.exe 경로에 복사한 다음 pcalua.exe를 사용하여 pat.exe를 열고 원격 서버에서 msi 파일을 다운로드하여 실행합니다. . 이 프로세스에서는 트로이 목마 탐지를 회피하기 위해 다양한 기술이 사용됩니다.
(1) Expand.exe는 압축된 패키지의 압축을 풀기 위해 시스템에서 사용하는 프로그램이지만 민감한 복사 명령 대신 파일을 복사하는 데 사용될 수 있습니다.
(2) msiexec.exe의 실행 감지를 피하기 위해 msiexec.exe를 복사하고 이름을 바꿉니다.
(3) pcalua.exe는 윈도우 프로그램 호환성 보조 프로그램이자 시스템의 화이트리스트 프로그램으로 공격자는 이 프로그램을 이용해 pat.exe로 이름이 바뀐 msiexec.exe를 호출해 원격 서버의 악성 msi 파일에 접근해 탐지를 회피한다.
획득한 MSI 파일이 실행되면 포함된 스크립트가 실행됩니다.
이 스크립트는 Lazarus의 일반적인 1단계 스크립트로, 기능은 다음과 같습니다:
(1) 일반 PDF 파일을 다운로드하여 열어 피해자를 혼란스럽게 합니다.
(2) Edge.lnk 파일을 시작 디렉터리에 풀어서 자체 시작을 완료합니다. lnk 파일이 실행하는 명령은 기본적으로 샘플 압축 해제 후 lnk 파일과 동일합니다. pcalua.exe는 이름이 변경된 파일을 호출하는 데에도 사용됩니다. 원격 서버에 msi를 로드하는 msiexec.exe 파일 이름과 아이콘은 피해자의 경계심을 낮추기 위해 Edge 브라우저로 위장합니다.
(3) WMI 명령을 호출하여 프로세스 이름 목록을 가져와 함께 연결한 후 다음 프로세스 이름을 확인합니다.
kwsprot: Kingsoft Internet Security 관련 프로세스
npprot: Net ProtectorAntiVirus 관련 프로세스
fshoster: F-Secure 관련 프로세스
(4) 스플라이싱된 프로세스 이름에 위 문자열 중 하나가 있으면 cscript.exe를 사용하여 후속 스크립트를 실행하고, 그렇지 않으면 npprot은 wscript.exe를 사용합니다.
(5) 선택한 스크립트 실행 프로그램을 %public% 디렉터리에 복사하고 프로세스 이름에 kwsprot 또는 npprot가 있는 경우 스크립트 실행에 사용된 프로그램 이름을 icb.exe로 변경하여 탐지를 회피합니다.
(6) Base 64로 인코딩된 후속 스크립트를 디코딩하고 RgdASRgrsF.js라는 임시 폴더에 릴리스합니다.
(7) %public% 디렉터리에 복사된 스크립트를 이용하여 프로그램을 실행하고 RgdASRgrsF.js를 실행합니다.
RgdASRgrsF.js는 Lazarus의 전형적인 2단계 스크립트로 기능은 매우 간단하며 임의의 UID를 생성하여 서버와 통신한 후 루프를 반복하여 서버로부터 명령을 받아 실행합니다. 실행되는 명령은 일반적으로 수집하는 명령입니다. 시스템 정보:
이 시점에서 공격은 완료되었으며, 해커는 사용자의 컴퓨터에서 필요한 파일이나 비밀번호 등의 민감한 정보를 얻을 수 있습니다. 라자루스를 통해 현재 공격 대상 산업은 정부, 군, 금융, 원자력산업, 화학산업, 의료, 항공우주, 엔터테인먼트 미디어, 암호화폐 등임을 알 수 있으며, 2017년 이후 암호화폐 산업의 비중이 크게 증가했다.
3. 자금세탁 패턴 분석
암호화 분야에서 라자루스 공격으로 인한 보안사고 및 손실이 명확하게 집계된 사례는 다음과 같다.
라자루스는 사이버 공격으로 30억 달러 이상의 자금을 탈취했는데, 라자루스 해커 조직은 북한의 전략적 이익을 지지하며 북한의 핵폭탄과 탄도미사일 프로그램에 자금을 제공하고 있는 것으로 알려졌다. 이를 위해 미국은 라자루스 해킹그룹에 대해 500만 달러의 현상금과 제재를 발표했다. 미국 재무부는 또한 OFAC의 특별 지정 국민(SDN) 목록에 관련 주소를 추가했습니다. 이는 미국 개인, 단체 및 관련 주소가 거래를 수행하는 것을 금지하여 국가 후원 단체가 제재로 이러한 자금을 현금화할 수 없도록 합니다. 이더리움 개발자 버질 그리피스(Virgil Griffith)는 북한이 가상 화폐를 사용하여 제재를 회피하도록 도운 혐의로 5년 3개월의 징역형을 선고받았으며, 올해 OFAC는 라자루스 그룹(Lazarus Group) 관련 개인 3명을 제재했으며 이 중 2명은 청훙만(Cheng Hung Man)과 우(Wu)에게 제재를 가했다. 희희는 라자루스의 암호화폐 거래를 촉진한 장외거래자였고, 제3자 심현섭은 기타 재정 지원을 제공했습니다.
그럼에도 불구하고 Lazarus는 10억 달러가 넘는 자산의 양도 및 세탁을 완료했으며, 이들의 자금 세탁 패턴은 아래와 같이 분석됩니다. Atomic Wallet 사건을 예로 들면, 해커가 설정한 기술적 간섭 요인(다수의 가짜 토큰 이체 거래 + 다중 주소 분할)을 제거한 후 해커의 자금 이체 모델을 얻을 수 있습니다.
그림: Atomic Wallet 피해자 1 자금 이체 보기
피해자 1 주소 0x b 0 2d...c 6072는 304.36 ETH를 해커 주소 0x 3916...6340으로 전송했고, 8번 분할된 후 중간 주소 0x 0159...7 b 70을 통해 주소 0x에서 수집되었습니다. 69 ca ...5324. 수집된 자금은 주소 0x 514 c...58 f 67로 이체되었습니다. 자금은 여전히 이 주소에 있으며 주소 ETH 잔액은 692.74 ETH(127만 달러 가치)입니다.
그림: Atomic Wallet 피해자 2 자금 이체 보기
피해자 2의 주소 0x0b45...d662는 1266만 USDT를 해커의 주소 0xf0f7...79b3으로 이체했고, 해커는 이를 3개의 거래로 나누어 그 중 2개는 Uniswap으로 이체해 총 1266만 USDT를 이체했고, 나머지 하나는 0x49ce..80fb 주소로 전송되었으며, 전송 금액은 672.71 ETH였습니다. 피해자 2는 22,000 USDT를 해커 주소 0x0d5a...08c2로 이체했으며, 해커는 중간 주소 0xec13...02d6 등을 통해 여러 차례 계정을 분할하고 직간접적으로 주소 0x3c2e...94a8로 자금을 모았습니다.
이 자금세탁 모델은 이전 Ronin Network 및 Harmony 공격의 자금세탁 모델과 매우 일치하며 둘 다 다음 세 단계를 포함합니다.
(1) 도난 자금의 분류 및 교환: 공격을 시작한 후 원래 도난당한 토큰을 분류하고 dex 및 기타 방법을 통해 여러 토큰을 ETH로 교환합니다. 이는 자금 동결을 방지하는 일반적인 방법입니다.
(2) 도난 자금 수집: 정리된 ETH를 여러 개의 일회용 지갑 주소로 수집합니다. Ronin 사건에서는 총 9개, Harmony 사건에서는 14개, Atomic Wallet 사건에서는 약 30개 주소가 해커에 의해 사용되었습니다.
(3) 도난자금 이체 : 회수주소를 이용하여 Tornado.Cash를 통해 자금세탁을 합니다. 이것으로 전체 자금 이체 프로세스가 완료됩니다.
동일한 자금세탁 단계를 갖는 것 외에도 자금세탁 세부사항에도 높은 수준의 일관성이 있습니다.
(1) 공격자들은 매우 인내심을 갖고 자금세탁 작업을 수행하는 데 최대 일주일이 걸렸으며, 모두 사건 발생 후 며칠 후에 후속 자금세탁 작업을 시작했습니다.
(2) 자금세탁 과정에는 자동화된 거래가 사용되며, 대부분의 자금 수집 활동은 거래 건수, 시간 간격이 짧고 통일된 패턴을 포함합니다.
분석을 통해 우리는 Lazarus의 자금세탁 모델이 일반적으로 다음과 같다고 믿습니다.
(1) 여러 계정으로 구성된 별도의 계정 및 여러 개의 소액 자산을 양도하면 추적이 더 어려워집니다.
(2) 대량의 위조 화폐 거래가 발생하기 시작하여 추적이 더욱 어려워집니다. Atomic Wallet 사건을 예로 들면, 중간 주소 27개 중 23개가 위조 화폐 이체 주소였으며, 최근 Stake.com 사건 분석에서도 유사한 기술이 사용된 것으로 나타났으나, 이전 로닌 네트워크에서는 그렇지 않았고, 하모니 사건 간섭 기술은 라자루스의 자금세탁 기술도 고도화되고 있음을 보여준다.
(3) 통화 혼합을 위해 온체인 방식(예: Tonado Cash)이 많이 사용됩니다. 초기 사건에서 Lazarus는 창업 자금을 얻거나 후속 OTC를 수행하기 위해 중앙형 거래소를 자주 사용했지만 최근에는 중앙형 거래소를 사용하는 횟수가 점점 줄어들고 있습니다. 따라서 최근 여러 건의 제재 사건과 연관돼야 할 중앙화 거래소 이용을 회피하는 것이 가능하다고까지 볼 수 있다.
About Us
SharkTeam의 비전은 Web3 세계를 보호하는 것입니다. 이 팀은 블록체인 및 스마트 계약의 기본 이론에 능숙한 전 세계의 숙련된 보안 전문가와 수석 연구원으로 구성되어 있습니다. 온체인 빅데이터 분석, 온체인 위험 경고, 스마트 계약 감사, 암호화폐 자산 복구 및 기타 서비스를 포함한 서비스를 제공하며 온체인 빅데이터 분석 및 위험 경고 플랫폼인 ChainAegis를 구축했습니다. 심층적인 그래프 분석을 통해 Web3 세계의 새로운 APT(Advanced Persistent Theft) 위험에 효과적으로 대처할 수 있습니다. Polkadot, Moonbeam, Polygon, OKX, Huobi Global, imToken, ChainIDE 등 Web3 생태계의 다양한 분야의 주요 플레이어와 장기적인 협력 관계를 구축했습니다.
공식 웹 사이트:https://www.sharkteam.org
