BitMEX, 라자루스 그룹의 해킹 시도 차단 및 해커 IP와 운영상의 취약점 노출

BitMEX는 라자루스 그룹의 해킹 시도 실패 사건을 공개하며, 북한 사이버전 부대와 오랫동안 연계되어 온 이 집단의 허술한 실수를 드러냈습니다.

BitMEX가 금요일에 발표한 블로그 게시물에 따르면, 해당 팀은 추가 감염을 감시하고 향후 운영 보안 오류를 포착하기 위해 내부 모니터링 시스템을 구축했습니다.

이 사건은 BitMEX 참여 제안을 받으면서 NFT . 그런데 이 제안이 Lazarus가 사용하는 것으로 알려진 피싱 수법과 일치했기 때문에, 직원은 즉시 신고했고, 본격적인 조사가 시작되었습니다.

BitMEX의 보안팀은 공격자가 공유한 GitHub 저장소에 접근했는데, 그 안에는 Next.js/React 프로젝트가 있었습니다. 하지만 그 안에는 직원이 자신도 모르게 악성 페이로드를 시스템에서 실행하도록 설계된 코드가 숨겨져 있었습니다. 보안팀은 해당 코드를 실행하지 않고 곧바로 분석에 착수했습니다.

BitMEX, 악성코드 분석 결과 라자루스(Lazarus)의 흔적 발견

해당 저장소 내부에서 BitMEX 엔지니어들은 악성코드에서 흔히 발견되는 위험 신호인 'eval'이라는 용어를 검색했습니다. 코드 한 줄이 주석 처리되어 있었지만, 그 안에 담긴 의도는 여전히 드러났습니다. 만약 이 코드가 활성화되었다면, "hxxp://regioncheck[.]net/api/user/thirdcookie/v3/726"에 접속하여 쿠키를 가져와 실행했을 것입니다. 이 도메인은 이전에 팔로알토 네트웍스의 42팀(수년간 북한의 사이버 활동을 trac해 온 팀)에 의해 라자루스와 연관된 것으로 확인된 바 있습니다.

다른 한 줄이 되어 있었습니다 로 요청을 보내고defi응답을 실행했습니다. BitMEX는 해당 JavaScript 코드를 수동으로 추출하여 심하게 난독화되어 있음을 발견했습니다. 코드 난독화 해제 도구인 웹크랙(webcrack)을 사용하여 난독화된 부분을 제거했다고 합니다. 최종 결과물은 지저분했지만 읽을 수는 있었는데, 마치 세 개의 서로 다른 스크립트가 하나로 합쳐진 것처럼 보였습니다.

코드의 일부에는 크롬 확장 프로그램dent가 포함되어 있었는데, 이는 일반적으로 자격dent탈취 악성코드를 가리킵니다. 'p.zi'라는 문자열은 Unit 42가 이전에 문서화했던 또 다른 작전인 BeaverTail 캠페인에서 사용된 구형 Lazarus 악성코드와 유사해 보였습니다. BitMEX는 BeaverTail 구성 요소가 이미 공개되었기 때문에 재분석하지 않기로 결정했습니다.

대신 그들은 다른 발견에 집중했습니다. 바로 Supabase 인스턴스에 연결된 코드였습니다. Supabase는 Firebase와 비슷한 개발자용 백엔드 플랫폼입니다. 문제는 Lazarus 개발자들이 보안을 제대로 설정하지 않았다는 것입니다. BitMEX가 테스트했을 때, 로그인이나 보호 장치 없이 데이터베이스에 직접 접근할 수 있었습니다.

해커들이 감염된 기기의 로그와 자신들의 IP 주소를 공개했습니다

Supabase 데이터베이스에는 감염된 시스템 로그가 37개 있었습니다. 각 항목에는 사용자 이름, 호스트 이름, 운영 체제, IP 주소, 지리적 위치 및 타임스탬프가 표시되어 있었습니다. BitMEX는 특정 패턴을 발견했는데, 일부 장치가 반복적으로 나타나는 것을 통해 개발자 또는 테스트용 시스템임을 파악할 수 있었습니다. 대부분의 호스트 이름은 3-XXX 구조를 따랐습니다.

많은 IP 주소가 VPN 제공업체에서 온 것이었습니다. "Victor"라는 사용자는 Touch VPN을 자주 사용했고, "GHOST72"는 Astrill VPN을 사용했습니다. 그런데 Victor에게 문제가 발생했습니다. 그와 연결된 한 항목의 IP 주소가 달랐는데, 바로 중국 자싱에 있는 차이나 모바일의dentIP 주소인 223.104.144.97이었습니다. 이는 VPN이 아니었습니다. 아마도 Lazarus 운영자의 실제 IP 주소였을 것입니다. BitMEX는 이를 중대한 운영 오류로 간주했습니다.

BitMEX는 Supabase 데이터베이스를 지속적으로 모니터링하는 도구를 개발했습니다. 5월 14일부터 이 도구는 3월 31일까지의 데이터베이스에서 856개의 항목을 수집했습니다. 그중에는 174개의 고유한 사용자 이름과 호스트 이름 조합이 포함되어 있습니다. 현재 이 시스템은 새로운 감염 사례나 공격자의 추가적인 실수를 찾아내기 위해 지속적으로 작동하고 있습니다.

BitMEX는 타임스탬프를 분석한 결과, 라자루스 그룹의 활동이 UTC 기준 오전 8시부터 오후 1시 사이에 감소하는 것을 발견했는데, 이는 평양 시간으로 오후 5시부터 10시에 해당합니다. 이러한 활동 패턴은 조직적인 작업 일정과 일치하며, 라자루스 그룹이 단순히 프리랜서 해커 집단이 아니라 조직적인 팀이라는 추가적인 증거를 제시합니다.

보안팀, 라자루스 패턴 및 내부 분열 확인

라자루스 그룹은 사회공학적 공격을 자행해 온 전력이 있습니다. 바이비트 해킹 사건과 같은 이전dent에서는 세이프 월렛 직원을 속여 악성 파일을 실행하게 함으로써 초기 접근 권한을 획득했습니다.

그 후 팀의 다른 구성원이 AWS 환경에 접근하여 프런트엔드 코드를 변경해 콜드 월렛에서 암호화폐를 훔쳤습니다. 비트멕스는 이러한 패턴이 해당 그룹이 여러 팀으로 나뉘어 기본적인 피싱 공격을 담당하고, 접근 권한을 확보한 후에는 고도화된 침입 공격을 수행하는 것으로 보인다고 밝혔습니다.

BitMEX는 "지난 몇 년 동안 이 그룹이 기술적 수준이 반드시 같지 않은 여러 하위 그룹으로 나뉜 것으로 보인다"고 밝혔습니다. 보안팀은 이번 공격 역시 같은 패턴을 따랐다고 말했습니다. 링크드인에 올라온 초기 메시지는 간단했고, 깃허브 저장소는 아마추어적인 수준이었습니다.

하지만 사후 공격 스크립트는 훨씬 더 숙련된 기술을 보여주었으며, 분명히 경험이 풍부한 누군가가 작성한 것으로 보였습니다. BitMEX는 악성코드의 난독화를 해제한 후 침해 지표(IoC)를trac하여 내부 시스템에 입력할 수 있었습니다.

그들은 변수 이름을 바꾸고, 스크립트를 정리하고, 작동 방식을 분석했습니다. 코드의 초반부는 새로 작성된 것으로, 고 시스템 데이터(사용자 이름, IP 주소 등)를 수파베이스(Supabase)로 직접 전송하여 누구나 공개된 데이터베이스를 발견하면 추적하기 쉽게 만들었다 trac.

BitMEX는 개발 과정에서 사용된 머신들도dent. 예를 들어 Victor@3-KZH는 Touch VPN과 차이나 모바일과 함께 사용되었습니다. GHOST72@3-UJS-2와 Super@3-AHR-2는 Astrill, Zoog, Hotspot Shield를 혼합하여 사용했습니다. 로그에는 Admin@3-HIJ, Lenovo@3-RKS, GoldRock@DESKTOP-N4VEL23, Muddy@DESKTOP-MK87CBC와 같은 사용자 계정도 나타났습니다. 이러한 환경들은 공격자들이 설정한 테스트 환경이었을 가능성이 높습니다.