Elastic Security Labs는 최근 을 발표했습니다 . 라자루스 그룹(Lazarus Group)이 "Kandykorn"이라는 새로운 형태의 악성코드를 이용해 암호화폐 거래소를 공격하려 시도한 것입니다. 이 악성코드에는 "Sugarload"라는 로더 프로그램도 함께 사용되었으며, 이 프로그램은 ".sld"라는 고유한 확장자를 가지고 있습니다. 공격 대상이 된 특정 거래소는 공개되지 않았지만, 라자루스 그룹이 사용한 공격 방식은 상당한 우려를 불러일으킵니다.
Elastic Security Labs가 Lazarus Group의 활동 내역을 공개했습니다
2023년에는 주로 북한 사이버 범죄 조직인 라자루스 그룹(Lazarus Group)의 소행으로 추정되는 암호화폐 거래소 개인키 해킹 사건이 급증했습니다. 라자루스 그룹은 블록체인 엔지니어로 가장하여 익명의 암호화폐 거래소 엔지니어들과 디스코드(Discord)를 통해 접촉하는 수법을 사용했습니다. 협력자인 척하며 여러 거래소의 암호화폐 가격 차이를 이용할 수 있는 차익거래 봇을 제공하겠다고 제안했습니다.
프로그램의 ZIP 폴더 안에 있는 파일들을 "config.py"와 "pricetable.py"처럼 위장하여 마치 차익거래 봇처럼 보이게 함으로써, 엔지니어들이 유익한 "봇"처럼 보이는 파일을 다운로드하도록 유도했습니다. 프로그램이 실행되면 "Main.py" 파일이 실행되는데, 이 파일에는 무해한 프로그램과 악성 구성 요소인 "Watcher.py"가 포함되어 있었습니다. Watcher.py는 원격 Google Drive 계정에 연결하여 "testSpeed.py"라는 파일에 콘텐츠를 다운로드했습니다
testSpeed.py는 일회성 실행 후 추가 콘텐츠를 다운로드하고 "Sugarloader"라는 파일을 실행했습니다. 악성 Sugarloader 파일은 "바이너리 패커"를 사용하여 숨겨져 있어 대부분의 악성코드 탐지 시스템을 회피할 수 있었습니다. Elastic은 프로그램 초기화 함수가 시작된 후 프로그램을 중단하고 프로세스의 가상 메모리 스냅샷을 찍어 이 파일을dent. VirusTotal 악성코드 탐지 시스템에서는 비악성으로 분류되었지만, Sugarloader는 원격 서버에 연결하여 Kandykorn을 시스템에 다운로드했습니다.
2023년 암호화폐 부문에서 증가하는 사이버 보안 문제
기기 메모리에 상주하는 Kandykorn은 원격 서버가 악의적인 활동을 실행할 수 있도록 하는 다양한 기능을 갖추고 있습니다. 예를 들어, "0xD3"과 같은 명령어를 사용하면 피해자 컴퓨터의 디렉터리 내용을 나열할 수 있고, "resp_file_down"을 사용하면 피해자의 파일을 공격자의 시스템으로 전송할 수 있습니다. Elastic은 이 공격이 2023년 4월에 발생했을 가능성이 높다고 밝혔으며, 이는 악의적인 목적으로 사용되는 도구와 기술이 지속적으로 개발되고 있는 상황에서 여전히 위협이 존재함을 시사합니다.
이러한 움직임은 2023년에 관찰된 전반적인 추세와 일맥상통합니다. 당시 중앙 집중식 암호화폐 거래소와 앱들이 여러 차례 공격을 받았습니다. 알파포, 코인즈페이드, 아토믹 월렛, 코이넥스, 스테이크 등이 공격 대상이었으며, 공격자들은 피해자들의 기기에서 개인 키를 탈취하여 고객의 암호화폐를 공격자 주소로 이체했습니다. 미국 연방수사국(FBI)을 포함한 당국은 이러한 공격 중 일부를 라자루스 그룹과 연관시켰습니다.
코이넥스 해킹 사건과 스테이크 공격 사건은 이 사이버 범죄 조직과 연관되어 있습니다. 라자루스 그룹의 활동 맥락에서 캔디콘과 그와 관련된 로더인 슈가로드가 등장한 것은 암호화폐 업계에 상당한 보안 위협을 제기합니다 . dent 위협 이 지속적으로 발생하는 만큼, 악의적인 활동에 대응하기 위해서는 경계를 강화하고 보안 조치를 지속적으로 개선해야 합니다.
