북한 해커 그룹 라자루스(Lazarus)는 지난 6월 3일부터 암호화폐 기업을 대상으로 4차례의 공격이 확인되는 등 최근 활동을 강화한 것으로 보인다. 이번에는 9월 12일 코인엑스(CoinEx)에서 다섯 번째 공격을 가한 것으로 의심된다. ​​이에 대해 코인엑스는 의심스러운 지갑 주소가 아직 확인 중이라는 내용의 트윗을 여러 차례 발표해 훔친 자금의 총액은 알 수 없지만 현재 약 5400만 달러(약 5400만 달러) 정도로 추정된다.

지난 104일 동안 Lazarus는 AtomicWallet(1억 달러), CoinsPaid(3,730만 달러), Alphapo(6,000만 달러) 및 Stake.com(4,100만 달러)에서 거의 2억 4,000만 달러에 달하는 암호화폐 자산을 훔친 것으로 확인되었습니다.

최신 나사로 공격

위와 같이 보안 기관 Elliptic의 분석에 따르면 CoinEx에서 도난당한 자금 중 일부는 비록 다른 블록체인이지만 Lazarus 그룹이 Stake.com에서 도난당한 자금을 세탁하기 위해 사용한 주소로 전송된 것으로 확인되었습니다. 그런 다음 자금은 이전에 Lazarus가 사용했던 브리지를 사용하여 Ethereum으로 브리지된 다음 CoinEx 해커가 제어하는 ​​것으로 알려진 주소로 다시 전송되었습니다. Ilipu는 Lazarus가 다양한 해커의 자금을 혼합하는 것을 관찰했으며, 가장 최근에는 Stake.com에서 도난당한 자금이 AtomicWallet에서 도난당한 자금과 겹쳤을 때 발생했습니다. 다양한 해커의 자금이 결합된 사례는 아래 이미지에서 주황색으로 표시됩니다.

이러한 블록체인 활동과 CoinEx 해킹이 다른 위협 그룹에 의해 수행되었음을 시사하는 정보가 부족하다는 점을 고려할 때 Illip은 Lazarus Group이 CoinEx 자금을 훔친 것으로 의심되어야 한다는 데 동의합니다.

104일 동안 5번의 나사로 공격

2022년에는 Harmony의 Horizon 브릿지와 AxieInfinity의 Ronin 브릿지를 포함하여 여러 건의 주목할만한 해킹이 Lazarus에 기인한 것으로 나타났습니다. 두 해킹 모두 작년 상반기에 발생했습니다. 그때부터 올해 6월까지 라자루스의 소행으로 공개적으로 밝혀진 주요 암호강탈자는 없었습니다. 따라서 지난 104일 동안 발생한 각종 해킹 사건은 북한 위협세력의 활동이 증가했음을 시사한다.

2023년 6월 3일, 비수탁형 분산형 암호화폐 지갑 AtomicWallet 사용자는 1억 달러 이상의 손실을 입었습니다. 2023년 6월 6일, Illip은 북한 위협 그룹이 책임이 있음을 나타내는 여러 요인을 확인한 후 해킹이 Lazarus의 소행이라고 생각했습니다. 이 속성은 나중에 FBI에 의해 확인되었습니다.

2023년 7월 22일, Lazarus는 성공적인 사회 공학 공격을 통해 암호화폐 결제 플랫폼인 CoinsPaid에 속한 핫 지갑에 대한 액세스 권한을 얻었습니다. 이 액세스를 통해 공격자는 플랫폼의 핫 지갑에서 약 3,730만 달러의 암호화폐 자산을 인출하기 위한 승인 요청을 생성할 수 있었습니다. 7월 26일, CoinsPaid는 Lazarus가 공격에 책임이 있다고 주장하는 보고서를 발표했습니다. FBI는 나중에 그 귀속을 확인했습니다.

같은 날인 7월 22일, Lazarus는 이번에는 중앙 집중식 암호화폐 결제 제공업체인 Alphapo를 표적으로 삼아 암호화폐 자산 6천만 달러를 훔치는 또 다른 주목할만한 공격을 시작했습니다. 공격자는 이전에 유출된 개인 키를 통해 액세스 권한을 얻었을 수 있습니다. 위에서 언급했듯이 FBI는 나중에 공격을 Lazarus의 소행으로 간주했습니다.

2023년 9월 4일, 온라인 암호화폐 카지노 Stake.com이 공격을 받아 약 4,100만 달러의 가상 화폐가 도난당했습니다. 개인 키를 도난당한 결과일 가능성이 있습니다. FBI는 9월 6일 보도자료를 통해 라자루스 그룹(Lazarus Group)이 공격의 배후에 있음을 확인했습니다.

마침내 2023년 9월 12일 중앙화폐 거래소 코인엑스(CoinEx)가 해킹당해 5,400만 달러가 도난당했다. 위에서 자세히 설명했듯이 여러 가지 요인으로 인해 나사로가 이 공격에 책임이 있음을 알 수 있습니다.

전략을 바꾸시겠습니까?

Lazarus의 최근 활동을 분석하면 작년부터 초점을 분산형 서비스에서 중앙형 서비스로 전환한 것으로 나타났습니다. 이전에 논의된 최근 5건의 해킹 중 4건이 중앙화된 가상 자산 서비스 제공업체를 표적으로 삼았습니다. 탈중앙화 금융(DeFi) 생태계가 급속히 성장하기 전에는 2020년 이전에 중앙화 거래소가 Lazarus의 선호 목표였습니다.

Lazarus가 다시 한번 중앙 집중식 서비스에 관심을 돌리는 데에는 여러 가지 이유가 있을 수 있습니다.

보안에 더 많은 주의를 기울이십시오: 2022년 DeFi 해킹 사고에 대한 Yilip의 이전 연구에 따르면 악용은 4일마다 발생했으며 매번 평균 3,260만 달러를 도난당했습니다. 크로스체인 브리지는 2022년 초에는 상대적으로 새로운 형태의 서비스였지만 이제는 가장 많이 해킹된 DeFi 프로토콜 유형 중 하나가 되었습니다. 이러한 추세는 향상된 스마트 계약 감사 및 개발 표준으로 이어져 해커가 취약점을 식별하고 악용할 수 있는 범위를 좁힐 가능성이 높습니다.

사회 공학에 취약함: 많은 해킹 공격에서 Lazarus Group이 선택한 공격 방법은 사회 공학이었습니다. 예를 들어, 5억 4천만 달러 규모의 RoninBridge 해킹은 LinkedIn의 가짜 채용 정보로 인해 발생했습니다. 그럼에도 불구하고 분산형 서비스는 일반적으로 인력이 적고 이름에서 알 수 있듯이 다양한 수준으로 분산되어 있습니다. 따라서 개발자에 대한 악의적인 액세스 권한을 얻는 것이 스마트 계약에 대한 관리 액세스 권한을 얻는 것과 반드시 ​​동일하지는 않습니다.

동시에, 중앙화된 거래소는 더 많은 인원을 확보하여 가능한 목표의 범위를 넓힐 가능성이 높습니다. 그들은 또한 중앙 집중식 내부 정보 기술 시스템을 사용하여 운영할 수 있으며, 이로 인해 Lazarus 악성 코드가 비즈니스의 의도된 기능에 침투할 수 있는 더 큰 기회를 제공할 수 있습니다.