로그인/ 가입하기

북한과 라자루스 그룹 해커가 멀웨어를 사용하여 블록체인 엔지니어를 공격하는 방법

2023/11/02 14:38

따르다

Elastic 보안 연구소는고유한 침입 멀웨어 식별 암호화폐 거래소 플랫폼의 블록체인 엔지니어를 대상으로 하는 교육입니다.

이 공격은 기만적인 전술과 기존 도구를 혼합하여 컴퓨터 시스템에 무단으로 액세스하고 민감한 데이터를 추출합니다.

북한은 할로윈에 너무 흥분한 나머지 사탕을 나눠주기 시작했습니다. 디스코드에서 암호화폐 서버에 유포되는 멀웨어인 REF7001, 일명 캔디콘(KANDYKORN)을 확인해 보세요:https://t.co/ZJ1r92Yhvf #악성코드 #위협 발견 #암호화폐 #불화 #ElasticSecurityLabs
- Elastic 보안 연구소(@elasticseclabs)2023년 10월 31일

이 사이버 침입 도구의 사용은 매킨토시 컴퓨터의 백그라운드 활동을 조사하는 과정에서 처음 발견되었습니다.

이 공격은 암호화폐 수익 창출 도구로 가장한 위조 프로그램을 통해 시작되었으며, 디스코드에서 쪽지를 통해 배포되었습니다.

조선민주주의인민공화국, 즉 북한에서 활동하는 것으로 추정되는 그룹의 소행으로 추정되는 이 공격은 라자루스 그룹과 상당히 유사합니다.

이는 라자루스 그룹과 관련된 방법론, 네트워크 구조, 디지털 인증서 및 고유한 탐지 조치에 대한 분석을 기반으로 합니다.

Elastic은 이러한 특정 형태의 침입을 이라고 명명했습니다;

라자루스 그룹은 어떻게 거래소를 해킹했나요?

모든 것은 아주 간단하게 시작되었습니다.

악의적인 행위자는 암호화폐 관련 소프트웨어에 대한 토론을 전담하는 Discord 그룹 내에서 허위 신원을 사용했습니다.

대부분의 멀웨어와 마찬가지로, 의심하지 않는 개인이 무해해 보이는 파일을 다운로드하도록 유도하지만 실제로는 악성 코드가 숨겨져 있습니다.

피해자는 거래소 간의 시세 차이를 감지하고 그 차이로 이익을 얻을 수 있는 암호화폐 차익거래 봇을 구입하는 것으로 착각하고 있었습니다.

이 파일을 열자마자 공격의 주요 단계인 이 시작되었습니다.

공격을 실행하기 위해 피해자는 프로그램을 실행해야 했습니다.

피해자를 속이기 위해 원래 프로그램은 다른 파일을 가져오고 일상적으로 보이는 작업을 실행하는 등 무해한 것처럼 보였습니다.

그러면 사용자는 자신도 모르게 이 프로그램을 실행하는 데 중요한 역할을 하게 되며, 실제로는 공격의 성공에 필수적인 일상적인 작업에 참여하게 됩니다.

피해자가 이 프로그램을 실행한 후 REF7001 공격은 5개의 개별 단계를 거쳐 전개되었습니다.

공격의 5단계

1단계 - 준비:

원래 프로그램은 다른 프로그램을 개별적으로 실행합니다. 이 특정 프로그램은 컴퓨터의 환경을 평가하고 다음 단계의 공격에 대비합니다.

2단계 - 추가 멀웨어 로드:

컴퓨터의 환경이 확인되면, 중개 파이썬 스크립트인 다른 두 개의 파일이 라는 프로그램을 다운로드하여 실행합니다;

3단계 - 설탕 로더:

이 프로그램은 추가적인 비밀 작전을 실행하고 마지막 단계인 의 로딩을 용이하게 합니다;

4단계 - 불화로 위장:

그런 다음 &#HLOADER/Discord(가짜)&#라는 이름의 파일이 합법적인 Discord 프로그램인 것처럼 가장합니다. 이는 피해자의 시스템에 사기성 프로그램인 <수거로더>가 계속 존재하도록 하기 위한 계략으로 사용됩니다.

5단계 - '캔디 콘';

일단 침투하면 캔디코른은 다양한 기능을 보유하게 됩니다. 다른 컴퓨터에서 다운로드하는 것과 같은 개별 명령을 받을 수 있습니다. 또한 컴퓨터의 세부 정보를 확인하고, 다른 컴퓨터와 정보를 주고받을 수 있으며, 심지어 다른 터미널에 컴퓨터 제어 권한을 부여할 수도 있습니다. 요컨대, 완전한 침해입니다.

Elastic은 이 캠페인을 2023년 4월로 거슬러 올라갑니다.

그들은 SUGARLOADER와 KANDYKORN C2 통신을 보호하기 위해 사용된 암호화 키를 분석하여 이를 수행했습니다.

이 위협은 여전히 활동 중이며 도구와 기법 모두에서 계속 진화하고 있는 것으로 보입니다.