※ 본 게시물은 'PLAINBIT' 재직 당시 작성한 블로그 글을 공유하는 것입니다.
원문 참고 : https://blog.plainbit.co.kr/tracking-bitcoin-addresses-of-dprks-ransomware/
※ 본 게시글의 암호화폐 주소 추적은 BIG의 암호화폐 추적 솔루션인 "QLUE"를 사용했습니다.
1. 北 랜섬웨어 관련 韓美 합동 사이버보안 권고
2023년 2월 9일, 미국 사이버인프라보안청인 CISA에서 북한 랜섬웨어 관련 한미 합동 사이버 보안 권고문을 발행했다.
해당 사이버 보안 권고문은 미국에서 진행 중인 랜섬웨어 예방 캠페인(#StopRansomware)의 일환으로, 네트워크 방어자들을 위해 다양한 랜섬웨어 변종 및 랜섬웨어 위협 행위자에 대해 상세히 기술하고 있다.
포함된 내용에는 북한 정권이 지원하는 랜섬웨어에 대한 전반적인 내용과 함께 랜섬웨어 공격을 목적으로 의료 및 공중 보건 분야와 기타 중요 인프라 분야 기관에 접근하기 위해 북한 사이버 행위자가 사용한 TTP 및 침해지표와 몸값을 요구하기 위해 암호화폐를 사용하는 것에 대한 정보 등이 있다.
특히 이번에 발행된 사이버 보안 권고문에는 북한에서 사용하는 것으로 추정되는 비트코인 주소 43개가 공개되어 본 글에서는 43개의 주소에 대한 정보를 간략하게 살펴보고 암호화폐 추적 솔루션인 "QLUE"를 사용해서 트랜잭션을 추적한 결과를 다루고자 한다.
2. 북한에서 사용하는 것으로 확인되는 43개의 비트코인 주소
공개된 43개의 비트코인 주소 중, 총 9개의 주소에서 트랜잭션 기록을 조회할 수 있었다. 또한, 트랜잭션 기록이 확인된 9개의 주소 모두 비트코인을 남기지 않고 전송한 것으로 확인되었다. 그리고 위 표에서 붉은 글씨로 표시한 2개의 비트코인 주소는 데이터가 조회되지 않는 것으로 보아 잘못된 형식의 주소로 판단된다.
- LZ1VNJfn6mWjPzkCyoBvqWaBZYXAwn135
- bc1qxrpevck3pq1yzrx2pq2rkvkvy0jnm56nzjv6pw
그 중, LZ1VNJfn6mWjPzkCyoBvqWaBZYXAwn135 주소는 비트코인 주소 포맷이 아니기 때문에 라이트코인의 주소로 추측되는데, 트랜잭션 기록은 존재하지 않는다.
분석일(2023년 3월 경)을 기준으로, 공개된 43개의 비트코인 주소의 일반적인 정보는 아래 표와 같다.
No. | Address | TxCount | Balance | No. | Address | TxCount | Balance |
---|---|---|---|---|---|---|---|
1 | 1KmWW6LgdgykBBrSXrFu9kdoHz95Fe9kQF | 3573 | 0 | 23 | bc1q6024d73h48fnhwswhwt3hqz2lzw6x99q0nulm4 | 0 | 0 |
2 | 1FX4W9rrG4F3Uc7gJ18GCwGab8XuW8Ajy2 | 3464 | 0 | 24 | bc1qwdvexlyvg3mqvqw7g6l09qup0qew80wjj9jh7x | 0 | 0 |
3 | 1KCwfCUgnSy3pzNX7U1i5NwFzRtth4bRBc | 6 | 0 | 25 | bc1qavrtge4p7dmcrnvhlvuhaarx8rek76wxyk7dgg | 0 | 0 |
4 | 1J8spy62o7z2AjQxoUpiCGnBh5cRWKVWJC | 5 | 0 | 26 | bc1qagaayd57vr25dlqgk7f00nhz9qepqgnlnt4upu | 0 | 0 |
5 | 14hVKm7Ft2rxDBFTNkkRC3kGstMGp2A4hk | 4 | 0 | 27 | bc1quvnaxnpqlzq3mdhfddh35j7e7ufxh3gpc56hca | 0 | 0 |
6 | 16ENLdHbnmDcEV8iqN4vuyZHa7sSdYRh76 | 2 | 0 | 28 | bc1qu0pvfmtxawm8s99lcjvxapungtsmkvwyvak6cs | 0 | 0 |
7 | 16sYqXancDDiijcuruZecCkdBDwDf4vSEC | 2 | 0 | 29 | bc1qg3zlxxhhcvt6hkuhmqml8y9pas76cajcu9ltdl | 0 | 0 |
8 | bc1q3wzxvu8yhs8h7mlkmf7277wyklkah9k4sm9anu | 2 | 0 | 30 | bc1qn7a3g23nzpuytchyyteyhkcse84cnylznl3j32 | 0 | 0 |
9 | bc1q8xyt4jxhw7mgqpwd6qfdjyxgvjeuz57jxrvgk9 | 2 | 0 | 31 | bc1qhfmqstxp3yp9muvuz29wk77vjtdyrkff4nrxpu | 0 | 0 |
10 | 1MTHBCrBKYEthfa16zo9kabt4f9jMJz8Rm | 0 | 0 | 32 | bc1qnh8scrvuqvlzmzgw7eesyrmtes9c5m78duetf3 | 0 | 0 |
11 | 1NqihEqYaQaWiZkPVdSMiTbt7dTy1LMxgX | 0 | 0 | 33 | bc1q7qry3lsrphmnw3exs7tkwzpvzjcxs942aq8n0y | 0 | 0 |
12 | 1N6JphHFaYmYaokS5xH31Z67bvk4ykd9CP | 0 | 0 | 34 | bc1qcmlcxfsy0zlqhh72jvvc4rh7hvwhx6scp27na0 | 0 | 0 |
13 | bc1q80vc4yjgg6umedkut3e9mhehxl4q4dcjjyzh59 | 0 | 0 | 35 | bc1q498fn0gauj2kkjsg35mlwk2cnxhaqlj7hkh8xy | 0 | 0 |
14 | bc1qlqgu2l2kms5338zuc95kxavctzyy0v705tpvyc | 0 | 0 | 36 | bc1qnz4udqkumjghnm2a3zt0w3ep8fwdcyv3krr3jq | 0 | 0 |
15 | bc1qy6su7vrh7ts5ng2628escmhr98msmzg62ez2sp | 0 | 0 | 37 | bc1qk0saaw7p0wrwla6u7tfjlxrutlgrwnudzx9tyw | 0 | 0 |
16 | bc1q8t69gpxsezdcr8w6tfzp3jeptq4tcp2g9d0mwy | 0 | 0 | 38 | bc1qyue2pgjk09ps7qvfs559k8kee3jkcw4p4vdp57 | 0 | 0 |
17 | bc1q9h7yj79sqm4t536q0fdn7n4y2atsvvl22m28ep | 0 | 0 | 39 | bc1q6qfkt06xmrpclht3acmq00p7zyy0ejydu89zwv | 0 | 0 |
18 | bc1qj6y72rk039mqpgtcy7mwjd3eum6cx6027ndgmd | 0 | 0 | 40 | bc1qmge6a7sp659exnx78zhm9zgrw88n6un0rl9trs | 0 | 0 |
19 | bc1qcp557vltuu3qc6pk3ld0ayagrxuf2thp3pjzpe | 0 | 0 | 41 | bc1qcywkd7zqlwmjy36c46dpf8cq6ts6wgkjx0u7cn | 0 | 0 |
20 | bc1ql8wsflrjf9zlusauynzjm83mupq6c9jz9vnqxg | 0 | 0 | 42 | 0 | 0 | |
21 | bc1qx60ec3nfd5yhsyyxkzkpts54w970yxj84zrdck | 0 | 0 | 43 | 0 | 0 | |
22 | bc1qunqnjdlvqkjuhtclfp8kzkjpvdz9qnk898xczp | 0 | 0 |
43개의 주소 중 트랜잭션 기록이 있는 유효한 주소인 9개를 대상으로 암호화폐 추적 솔루션인 "QLUE"를 이용해 분석을 진행했다. 그 중 2개는 Binance 거래소 소유의 주소로 식별되었으며, 트랜잭션 기록이 있는 유효한 주소의 잔금은 모두 0인 것을 확인했다.
이어지는 내용은 회사 블로그를 참고해주세요^^
'Blog > 외부 Blog' 카테고리의 다른 글
김수키(Kimsuky) 비트코인 주소 추적 (0) | 2024.05.30 |
---|---|
암호화폐 스캠이 발생하는 과정 (0) | 2024.05.30 |
Apollo X 거래소 해킹 공격자 주소 추적 (0) | 2024.05.30 |
Euler Finance Flash Loan Attack 분석 (0) | 2024.05.30 |
Colonial Pipeline 랜섬웨어 공격자 주소 추적 (1) | 2024.05.30 |