Tracking bitcoin addresses of DPRK's ransomware (5)

북한이 소유한 것으로 알려진 16ENLdHbnmDcEV8iqN4vuyZHa7sSdYRh76 주소 추적에 대해 살펴본다.

※ 본 게시글의 암호화폐 주소 추적은 BIG의 암호화폐 추적 솔루션인 "QLUE"를 사용했습니다.

1. 16ENLdHbnmDcEV8iqN4vuyZHa7sSdYRh76 주소 정보

[그림 1] 16ENLdHbnmDcEV8iqN4vuyZHa7sSdYRh76 주소 정보

QLUE에서 조회한 16ENLdHbnmDcEV8iqN4vuyZHa7sSdYRh76 주소의 요약 정보는 위와 같으며 아래 표로 나타낼 수 있다.​

목록
Address Hash 16ENLdHbnmDcEV8iqN4vuyZHa7sSdYRh76
Balance (BTC) 0
Transactions 2
Cluster Name -
Cluster Identifier 828661150
Number of Addresses in Cluster 2
BitRank Score 0 , High Risk
Entities and Flags , [Ransomware, North Korea]
Received Transactions 1
Sent Transactions 1
Received Amount (BTC) 0.00064181
Sent Amount (BTC) 0.00064181
First Seen Receiving (UTC) 2021-05-12 09:15:59
Last Seen Receiving (UTC) 2021-05-12 09:15:59
First Seen Sending (UTC) 2021-06-25 03:34:00
Last Seen Sending (UTC) 2021-06-25 03:34:00

​해당 주소는 2021년 5월 12일 09시 15분 경에 처음으로 트랜잭션이 발생했고, 같은 해 6월 25일 03시 34분 경을 마지막으로 트랜잭션이 확인되지 않는다. 트랜잭션은 송·수신 각 1회씩 총 2번 발생했고, 총 0.00064181 BTC를 전송했다.

해당 주소는 Ransomware, North Korea 플래그를 부여 받았다. Ransomware 공격에 사용되었으며, 고위험 관할군에 속한 주소이기 때문에 BitRank Score는 0점으로 High Risk이다.

QLUE에서 식별할 수 있는 Cluster 식별 값은 828661150이며, 해당 클러스터에는 2개의 주소가 포함되어 있다.​

2. 16ENLdHbnmDcEV8iqN4vuyZHa7sSdYRh76 주소 트랜잭션 추적

[그림 2] Binance 거래소로 비트코인 전송

1J8spy62o7z2AjQxoUpiCGnBh5cRWKVWJC 주소로부터 전송된 1.66336885 BTC 중 약 1.66 BTC는 Binance 거래소로 전송되었으며 차액인 0.00064181 BTC는 분석 대상 주소인 16ENLdHbnmDcEV8iqN4vuyZHa7sSdYRh76로 전송되었다.

전송된 0.00064181 BTC는 1J8spy62o7z2AjQxoUpiCGnBh5cRWKVWJC 주소에서 전송된 BTC와 합쳐져 0.21172347 BTC가 되어 Binance 거래소로 전송되었고 0.00036192 BTC는 다른 주소로 전송되었으나 이후 트랜잭션은 확인되지 않는다.

자금의 Output은 Binance 거래소로 전송되었다는 것을 알 수 있으며, Input은 1J8spy62o7z2AjQxoUpiCGnBh5cRWKVWJC 주소의 트랜잭션을 추가로 분석해봐야 한다.

1J8spy62o7z2AjQxoUpiCGnBh5cRWKVWJC 주소는 본 연구의 출처가 되는 CISA에서 공개한 주소에 포함되어 있기 때문에 해당 주소 분석 파트에서 다룬다.​

3. 소결론

  • 16ENLdHbnmDcEV8iqN4vuyZHa7sSdYRh76 주소는 2회의 트랜잭션 기록을 포함하고 있으며, 0.00064181 BTC를 주고받았다.
  • 자금은 CISA에서 공개한 다른 주소로부터 전송되었으며 최종적으로 Binance 거래소 소유의 주소로 전송되었다.​

이어지는 글

北 랜섬웨어 관련 비트코인 주소 트랜잭션 추적(6)
북한이 소유한 것으로 알려진 1J8spy62o7z2AjQxoUpiCGnBh5cRWKVWJC 주소 추적에 대해 살펴본다.
You've successfully subscribed to PLAINBIT
Great! Next, complete checkout to get full access to all premium content.
Error! Could not sign up. invalid link.
Welcome back! You've successfully signed in.
Error! Could not sign in. Please try again.
Success! Your account is fully activated, you now have access to all content.
Error! Stripe checkout failed.
Success! Your billing info is updated.
Error! Billing info update failed.