본 보고서는 한국인터넷진흥원, 경찰청(경기남부청), 플레인비트, S2W의 합동분석결과를 기반으로 작성되었습니다.
본 보고서는 해커가 가상자산 이용자를 대상으로 자산을 탈취하기 위해 수행한 공격 도구 개발과 자동화 과정을 분석합니다.
해커조직은 공격 준비 단계에서 Python 기반의 자동화 도구를 개발하고, 피싱 이메일을 통해 피해자의 계정을 탈취하는 방식으로 공격을 시작합니다. 이후 공격은 4단계 시나리오를 따라 체계적으로 진행됩니다.
이후 장에서는 해커조직의 공격 기법을 상세히 분석하고, 가상자산 탈취를 위해 어떤 작업을 수행했는지 중점적으로 다루겠습니다.
공격자는 가상자산의 시드 문구(Mnemonic)을 관리할 수 있는 크롬 브라우저 확장 프로그램을 확인하였습니다.
<aside> 💡
시드문구: 가상자산 지갑에서 개인 키를 대신해 사용되는 단어 조합으로, 지갑 복구 및 접근의 핵심 정보
</aside>
이를 통해 공격자는 Anchor Wallet, Wombat Wallet 등을 검토했으며 해당 프로그램들이 지원하는 블록체인 네트워크와 기능(예: 시드 문구 관리, 키 복구, 지갑 생성 등)을 확인했습니다.
이 과정에서 공격자는 주요 블록체인을 지원하는 확장 프로그램을 탐색하고, 이를 통해 피해자 지갑의 시드 문구를 입력하여 지갑을 복구하기 위한 도구를 준비하였습니다.
그 뒤로 공격자는 다양한 가상자산의 잔액을 조회할 수 있는 Python 코드를 제작하여 가상자산 지갑의 잔액을 실시간으로 확인하고, 추가적인 공격 수행을 위한 정보를 확보하였습니다.
모니터링 대상의 가상자산은 Solana, Dogecoin, Ripple (XRP), Filecoin 등이며 각 블록체인 네트워크의 JSON-RPC API, HTTP 요청 등을 활용하여 Python 코드를 개발하였습니다.