Tracking bitcoin addresses of DPRK's ransomware
※ 해당 글은 박현재 연구원이 작성한 글입니다.
※ 본 게시글의 암호화폐 주소 추적은 BIG의 암호화폐 추적 솔루션인 "QLUE"를 사용했습니다.
1. 北 랜섬웨어 관련 韓美 합동 사이버보안 권고
2023년 2월 9일, 미국 사이버인프라보안청인 CISA에서 북한 랜섬웨어 관련 한미 합동 사이버 보안 권고문을 발행했다.
해당 사이버 보안 권고문은 미국에서 진행 중인 랜섬웨어 예방 캠페인(#StopRansomware)의 일환으로, 네트워크 방어자들을 위해 다양한 랜섬웨어 변종 및 랜섬웨어 위협 행위자에 대해 상세히 기술하고 있다.
포함된 내용에는 북한 정권이 지원하는 랜섬웨어에 대한 전반적인 내용과 함께 랜섬웨어 공격을 목적으로 의료 및 공중 보건 분야와 기타 중요 인프라 분야 기관에 접근하기 위해 북한 사이버 행위자가 사용한 TTP 및 침해지표와 몸값을 요구하기 위해 암호화폐를 사용하는 것에 대한 정보 등이 있다.
특히 이번에 발행된 사이버 보안 권고문에는 북한에서 사용하는 것으로 추정되는 비트코인 주소 43개가 공개되어 본 글에서는 43개의 주소에 대한 정보를 간략하게 살펴보고 암호화폐 추적 솔루션인 "QLUE"를 사용해서 트랜잭션을 추적한 결과를 다루고자 한다.
2. 북한에서 사용하는 것으로 확인되는 43개의 비트코인 주소
공개된 43개의 비트코인 주소 중, 총 9개의 주소에서 트랜잭션 기록을 조회할 수 있었다. 또한, 트랜잭션 기록이 확인된 9개의 주소 모두 비트코인을 남기지 않고 전송한 것으로 확인되었다. 그리고 위 표에서 붉은 글씨로 표시한 2개의 비트코인 주소는 데이터가 조회되지 않는 것으로 보아 잘못된 형식의 주소로 판단된다.
- LZ1VNJfn6mWjPzkCyoBvqWaBZYXAwn135
- bc1qxrpevck3pq1yzrx2pq2rkvkvy0jnm56nzjv6pw
그 중, LZ1VNJfn6mWjPzkCyoBvqWaBZYXAwn135 주소는 비트코인 주소 포맷이 아니기 때문에 라이트코인의 주소로 추측되는데, 트랜잭션 기록은 존재하지 않는다.
분석일(2023년 3월 경)을 기준으로, 공개된 43개의 비트코인 주소의 일반적인 정보는 아래 표와 같다.
| No. | Address | TxCount | Balance | No. | Address | TxCount | Balance |
|---|---|---|---|---|---|---|---|
| 1 | 1KmWW6LgdgykBBrSXrFu9kdoHz95Fe9kQF | 3573 | 0 | 23 | bc1q6024d73h48fnhwswhwt3hqz2lzw6x99q0nulm4 | 0 | 0 |
| 2 | 1FX4W9rrG4F3Uc7gJ18GCwGab8XuW8Ajy2 | 3464 | 0 | 24 | bc1qwdvexlyvg3mqvqw7g6l09qup0qew80wjj9jh7x | 0 | 0 |
| 3 | 1KCwfCUgnSy3pzNX7U1i5NwFzRtth4bRBc | 6 | 0 | 25 | bc1qavrtge4p7dmcrnvhlvuhaarx8rek76wxyk7dgg | 0 | 0 |
| 4 | 1J8spy62o7z2AjQxoUpiCGnBh5cRWKVWJC | 5 | 0 | 26 | bc1qagaayd57vr25dlqgk7f00nhz9qepqgnlnt4upu | 0 | 0 |
| 5 | 14hVKm7Ft2rxDBFTNkkRC3kGstMGp2A4hk | 4 | 0 | 27 | bc1quvnaxnpqlzq3mdhfddh35j7e7ufxh3gpc56hca | 0 | 0 |
| 6 | 16ENLdHbnmDcEV8iqN4vuyZHa7sSdYRh76 | 2 | 0 | 28 | bc1qu0pvfmtxawm8s99lcjvxapungtsmkvwyvak6cs | 0 | 0 |
| 7 | 16sYqXancDDiijcuruZecCkdBDwDf4vSEC | 2 | 0 | 29 | bc1qg3zlxxhhcvt6hkuhmqml8y9pas76cajcu9ltdl | 0 | 0 |
| 8 | bc1q3wzxvu8yhs8h7mlkmf7277wyklkah9k4sm9anu | 2 | 0 | 30 | bc1qn7a3g23nzpuytchyyteyhkcse84cnylznl3j32 | 0 | 0 |
| 9 | bc1q8xyt4jxhw7mgqpwd6qfdjyxgvjeuz57jxrvgk9 | 2 | 0 | 31 | bc1qhfmqstxp3yp9muvuz29wk77vjtdyrkff4nrxpu | 0 | 0 |
| 10 | 1MTHBCrBKYEthfa16zo9kabt4f9jMJz8Rm | 0 | 0 | 32 | bc1qnh8scrvuqvlzmzgw7eesyrmtes9c5m78duetf3 | 0 | 0 |
| 11 | 1NqihEqYaQaWiZkPVdSMiTbt7dTy1LMxgX | 0 | 0 | 33 | bc1q7qry3lsrphmnw3exs7tkwzpvzjcxs942aq8n0y | 0 | 0 |
| 12 | 1N6JphHFaYmYaokS5xH31Z67bvk4ykd9CP | 0 | 0 | 34 | bc1qcmlcxfsy0zlqhh72jvvc4rh7hvwhx6scp27na0 | 0 | 0 |
| 13 | bc1q80vc4yjgg6umedkut3e9mhehxl4q4dcjjyzh59 | 0 | 0 | 35 | bc1q498fn0gauj2kkjsg35mlwk2cnxhaqlj7hkh8xy | 0 | 0 |
| 14 | bc1qlqgu2l2kms5338zuc95kxavctzyy0v705tpvyc | 0 | 0 | 36 | bc1qnz4udqkumjghnm2a3zt0w3ep8fwdcyv3krr3jq | 0 | 0 |
| 15 | bc1qy6su7vrh7ts5ng2628escmhr98msmzg62ez2sp | 0 | 0 | 37 | bc1qk0saaw7p0wrwla6u7tfjlxrutlgrwnudzx9tyw | 0 | 0 |
| 16 | bc1q8t69gpxsezdcr8w6tfzp3jeptq4tcp2g9d0mwy | 0 | 0 | 38 | bc1qyue2pgjk09ps7qvfs559k8kee3jkcw4p4vdp57 | 0 | 0 |
| 17 | bc1q9h7yj79sqm4t536q0fdn7n4y2atsvvl22m28ep | 0 | 0 | 39 | bc1q6qfkt06xmrpclht3acmq00p7zyy0ejydu89zwv | 0 | 0 |
| 18 | bc1qj6y72rk039mqpgtcy7mwjd3eum6cx6027ndgmd | 0 | 0 | 40 | bc1qmge6a7sp659exnx78zhm9zgrw88n6un0rl9trs | 0 | 0 |
| 19 | bc1qcp557vltuu3qc6pk3ld0ayagrxuf2thp3pjzpe | 0 | 0 | 41 | bc1qcywkd7zqlwmjy36c46dpf8cq6ts6wgkjx0u7cn | 0 | 0 |
| 20 | bc1ql8wsflrjf9zlusauynzjm83mupq6c9jz9vnqxg | 0 | 0 | 42 | 0 | 0 | |
| 21 | bc1qx60ec3nfd5yhsyyxkzkpts54w970yxj84zrdck | 0 | 0 | 43 | 0 | 0 | |
| 22 | bc1qunqnjdlvqkjuhtclfp8kzkjpvdz9qnk898xczp | 0 | 0 | ||||
43개의 주소 중 트랜잭션 기록이 있는 유효한 주소인 9개를 대상으로 암호화폐 추적 솔루션인 "QLUE"를 이용해 분석을 진행했다. 그 중 2개는 Binance 거래소 소유의 주소로 식별되었으며, 트랜잭션 기록이 있는 유효한 주소의 잔금은 모두 0인 것을 확인했다.
| No. | Valid Address | Type | First Tx Date | Last Tx Date | Send Amount (BTC) | Receive Amount (BTC) |
|---|---|---|---|---|---|---|
| 1 | 1KmWW6LgdgykBBrSXrFu9kdoHz95Fe9kQF | 거래소 (Binance) | 2019-07-22 | 2021-09-01 | 922.1659523 | 922.1659523 |
| 2 | 1FX4W9rrG4F3Uc7gJ18GCwGab8XuW8Ajy2 | 거래소 (Binance) | 2018-10-02 | 2020-06-06 | 1126.67631961 | 1126.67631961 |
| 3 | LZ1VNJfn6mWjPzkCyoBvqWaBZYXAwn135 | 조회되지 않는 주소 | - | - | ||
| 4 | bc1qxrpevck3pq1yzrx2pq2rkvkvy0jnm56nzjv6pw | 조회되지 않는 주소 | - | - | ||
| 5 | 1KCwfCUgnSy3pzNX7U1i5NwFzRtth4bRBc | 일반 주소 | 2021-05-13 | 2022-12-27 | 0.0361 | 0.0361 |
| 6 | 1J8spy62o7z2AjQxoUpiCGnBh5cRWKVWJC | 일반 주소 | 2021-05-11 | 2021-06-25 | 1.87482707 | 1.87482707 |
| 7 | 14hVKm7Ft2rxDBFTNkkRC3kGstMGp2A4hk | 일반 주소 | 2018-09-14 | 2018-09-14 | 10 | 10 |
| 8 | 16ENLdHbnmDcEV8iqN4vuyZHa7sSdYRh76 | 일반 주소 | 2021-05-12 | 2021-06-25 | 0.00064181 | 0.00064181 |
| 9 | 16sYqXancDDiijcuruZecCkdBDwDf4vSEC | 일반 주소 | 2019-06-24 | 2019-07-25 | 0.06 | 0.06 |
| 10 | bc1q3wzxvu8yhs8h7mlkmf7277wyklkah9k4sm9anu | 일반 주소 | 2022-03-30 | 2022-03-30 | 2.54 | 2.54 |
| 11 | bc1q8xyt4jxhw7mgqpwd6qfdjyxgvjeuz57jxrvgk9 | 일반 주소 | 2022-05-24 | 2022-07-05 | 0.51256 | 0.51256 |
3. 분석결과 요약
랜섬웨어 공격 그룹은 암호화폐 자금을 현금화하기 위해 거래소 소유의 주소에 전송하거나 Bitcoin ATM 및 암호화폐 결제 서비스 주소에 전송하는 등 다수의 암호화폐 서비스를 이용하려는 시도가 확인되었다.
3-1) 트랜잭션 추적 중 식별된 암호화폐 서비스 목록
Exchange
암호화폐를 사고 팔 수 있는 거래소
- Bibox
- Binance
- Bithumb
- Bitmart
- Bitmex
- Bitrue
- Bitstamp
- Bittrex
- Bitzlato
- Bybit
- Coinbase
- Coincola
- Crypto.com
- Ferma.cc
- Garantex
- Gate.io
- Gemini
- Huobi
- Hydra market
- Ice3
- Kraken
- KuCoin
- Localbitcoins
- Luno
- MEXC
- NairaEx
- Nexo
- OKX
- Paxful
- TradeOgre
- Upbit
- ...
Payment Processor
암호화폐로 결제를 할 수 있도록 도와주는 서비스
- Coinspaid
- Coinpayments
ATM
비트코인을 현금으로 인출할 수 있는 ATM
- Bitcoin Depot
Cross Chain Bridge
서로 다른 블록체인 간의 거래를 도와주는 서비스
- renBTC
3-2) 암호화폐 추적 회피 시도
암호화폐 추적을 회피하기 위한 목적으로 Coinjoin 서비스를 이용하거나, Peel Chain 형태의 트랜잭션을 형성하거나, Cross Chain Bridge 서비스를 이용하기도 했다.
- Wasabi Coinjoin
- Joinmarket Coinjoin
- Peel Chain
- Cross Chain Bridge
3-3) 여러 주소에서 공통적으로 검출된 주소
美 CISA에서 공개한 서로 다른 분석 대상 주소의 트랜잭션 분석 중 동일한 주소가 발견되기도 했다.
| CISA Notice Addresses | Commonly Detected Addresses | Cluster |
|---|---|---|
| 1FX4W9rrG4F3Uc7gJ18GCwGab8XuW8Ajy2 16sYqXAncDDiijcuruZecCkdBDwDf4vSEC |
1FX4W9rrG4F3Uc7gJ18GCwGab8XuW8Ajy2 | Binance |
| 1KmWW6LgdgykBBrSXrFu9kdoHZ95Fe9kQF 1KCwfCUgnSy3pzNX7U1i5NwFzRtth4bRBc |
19rpCFxpAtuR9T7LmHm53mvGt65m8ju5Vp 1KmWW6LgdgykBBrSXrFu9kdoHZ95Fe9kQF |
Binance |
| 1FX4W9rrG4F3Uc7gJ18GCwGab8XuW8Ajy2 1KmWW6LgdgykBBrSXrFu9kdoHZ95Fe9kQF |
1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s | Binance |
| bc1q8xyt4jxhw7mgqpwd6qfdjyxgvjeuz57jxrvgk9 1KCwfCUgnSy3pzNX7U1i5NwFzRtth4bRBc |
bc1qns9f7yfx3ry9lj6yz7c9er0vwa0ye2eklpzqfw | Coinspaid |
| bc1q3wzxvu8yhs8h7mlkmf7277wyklkah9k4sm9anu 1J8spy62o7z2AjQxoUpiCGnBh5cRWKVWJC |
bc1quq29mutxkgxmjfdr7ayj3zd9ad0ld5mrhh89l2 | Gemini |
4. 결론
- 트랜잭션 도중 분리되어 전송된 자금들 중 작은 금액이 아님에도 불구하고 방치된 것이 꽤 있다.
- 자금 추적 회피 행위로 Coinjoin과 Peel Chain 기법을 주로 사용했다.
- renBTC 서비스를 이용해서 Chain Hopping을 했다.
- 자금을 전송한 거래소 중 가장 많은 비중을 차지한 거래소는 "Binance" 이다.
- 7개의 주요 분석 대상 주소에서는 2018년 9월부터 2022년 12월까지 트랜잭션이 발생했다.
- 다크 웹 거래소인 Hydra Market을 사용한 기록이 있다.