결론
미국 사이버인프라보안청인 CISA에서 공개한 북한 랜섬웨어 관련 비트코인 주소 43개에 대한 분석을 진행했다. 43개의 주소 중 트랜잭션 기록이 있는 유효한 주소는 9개였으며, 그 중 2개는 Binance 거래소 소유의 주소로 식별되었으며, 트랜잭션 기록이 있는 유효한 주소의 잔금은 모두 0인 것을 확인했다.
그리고 2개의 주소는 블록체인 조회 사이트에서 조회되지 않는 주소인 것을 확인했으며, 그 중 하나는 라이트코인 주소의 포맷으로 추측되는데, 트랜잭션 기록은 없는 것을 확인했다.(https://blockchair.com/litecoin/address/LZ1VNJfn6mWjPzkCyoBvqWaBZYXAwn135)
따라서, 유효한 주소 9개 중 거래소 소유의 주소 2개를 제외한 7개 주소의 트랜잭션을 암호화폐 추적 솔루션인 QLUE를 이용해서 추적했다.
| 美 CISA 공개 주소 | 유형 |
|---|---|
| 1KmWW6LgdgykBBrSXrFu9kdoHz95Fe9kQF | 거래소 (Binance) |
| 1FX4W9rrG4F3Uc7gJ18GCwGab8XuW8Ajy2 | 거래소 (Binance) |
| LZ1VNJfn6mWjPzkCyoBvqWaBZYXAwn135 | 조회되지 않는 주소 (Litecoin 주소로 추측) |
| bc1qxrpevck3pq1yzrx2pq2rkvkvy0jnm56nzjv6pw | 조회되지 않는 주소 |
| 1KCwfCUgnSy3pzNX7U1i5NwFzRtth4bRBc | 일반 주소 |
| 1J8spy62o7z2AjQxoUpiCGnBh5cRWKVWJC | 일반 주소 |
| 14hVKm7Ft2rxDBFTNkkRC3kGstMGp2A4hk | 일반 주소 |
| 16ENLdHbnmDcEV8iqN4vuyZHa7sSdYRh76 | 일반 주소 |
| 16sYqXancDDiijcuruZecCkdBDwDf4vSEC | 일반 주소 |
| bc1q3wzxvu8yhs8h7mlkmf7277wyklkah9k4sm9anu | 일반 주소 |
| bc1q8xyt4jxhw7mgqpwd6qfdjyxgvjeuz57jxrvgk9 | 일반 주소 |
분석요약
랜섬웨어 공격 그룹은 암호화폐 자금을 현금화하기 위해 거래소 소유의 주소에 전송하거나 Bitcoin ATM 및 암호화폐 결제 서비스 주소에 전송하는 등 다수의 암호화폐 서비스를 이용하려는 시도가 확인되었다.
트랜잭션 추적 중 식별된 암호화폐 서비스 목록
Exchange
- Bibox
- Binance
- Bithumb
- Bitmart
- Bitmex
- Bitrue
- Bitstamp
- Bittrex
- Bitzlato
- Bybit
- Coinbase
- Coincola
- Crypto.com
- Ferma.cc
- Garantex
- Gate.io
- Gemini
- Huobi
- Hydra market
- Ice3
- Kraken
- KuCoin
- Localbitcoins
- Luno
- MEXC
- NairaEx
- Nexo
- OKX
- Paxful
- TradeOgre
- Upbit
- ...
Payment Processor
- Coinspaid
- Coinpayments
ATM
- Bitcoin Depot
Cross Chain Bridge
- renBTC
암호화폐 자금 중 일부는 Lazarus 그룹으로 식별되는 주소로 전송되기도 했으며 관련 주소는 다음과 같다.
- 3B9yt9LVFW6Fv6cMZSfJL1mgSj2ZewBqSv
- bc1ql0j5kuklmuvcejthxmdp66eyxrwtdy08tp5v36
- 121AkmEbHBX9FuFeuDWv2CpyHqNq9F18k9
- 1C5qLPgqW4Ed6PuyLHPqXpdF2gQ1EEnJ65
암호화폐 추적을 회피하기 위해서 다음 행위를 수행한 것이 확인됐다.
- Wasabi Coinjoin
- Joinmarket Coinjoin
- Peel Chain
- Chain Hopping
분석 대상 주소의 트랜잭션 분석 중 동일한 주소가 발견되기도 했다.
| 美 CISA 공개 주소 | 공통적으로 검출된 주소 | 클러스터 |
|---|---|---|
| 1FX4W9rrG4F3Uc7gJ18GCwGab8XuW8Ajy2 16sYqXAncDDiijcuruZecCkdBDwDf4vSEC |
1FX4W9rrG4F3Uc7gJ18GCwGab8XuW8Ajy2 | Binance |
| 1KmWW6LgdgykBBrSXrFu9kdoHZ95Fe9kQF 1KCwfCUgnSy3pzNX7U1i5NwFzRtth4bRBc |
19rpCFxpAtuR9T7LmHm53mvGt65m8ju5Vp 1KmWW6LgdgykBBrSXrFu9kdoHZ95Fe9kQF |
Binance |
| 1FX4W9rrG4F3Uc7gJ18GCwGab8XuW8Ajy2 1KmWW6LgdgykBBrSXrFu9kdoHZ95Fe9kQF |
1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s | Binance |
| bc1q8xyt4jxhw7mgqpwd6qfdjyxgvjeuz57jxrvgk9 1KCwfCUgnSy3pzNX7U1i5NwFzRtth4bRBc |
bc1qns9f7yfx3ry9lj6yz7c9er0vwa0ye2eklpzqfw | Coinspaid |
| bc1q3wzxvu8yhs8h7mlkmf7277wyklkah9k4sm9anu 1J8spy62o7z2AjQxoUpiCGnBh5cRWKVWJC |
bc1quq29mutxkgxmjfdr7ayj3zd9ad0ld5mrhh89l2 | Gemini |
특징
- 트랜잭션 도중 분리되어 전송된 자금들 중 작은 금액이 아님에도 불구하고 방치된 것이 꽤 있다.
- 자금 추적 회피 행위로 Coinjoin과 Peel Chain 기법을 주로 사용했다.
- renBTC를 이용해서 Chain Hopping을 했다.
- 자금을 전송한 거래소 중 가장 많은 비중을 차지한 거래소는 "Binance" 이다.
- 7개의 주요 분석 대상 주소에서는 2018년 9월부터 2022년 12월까지 트랜잭션이 발생했다.
- 일부 자금은 Lazarus 그룹의 주소로 전송되었다.
- 다크 웹 거래소인 Hydra Market을 사용한 기록이 있다.
