- 슬로우미스트, “바이비트 해킹 분석 결과 라자루스 그룹 소행 확인”
- “악성코드 전송해 컴퓨터 서버 원격 제어… 기존 보안 탐지 우회”
- 해커, 거래소 인프라 침입 후 가상자산 탈취
블록체인 보안업체 슬로우미스트(SlowMist)는 2월 23일 바이비트(Bybit) 해킹 사건을 분석한 결과, 북한 해커 조직 라자루스 그룹의 소행임을 확인했다고 언급했다.
슬로우미스트 설립자 유시안(Yu Xian)은 “포렌식 분석과 상관관계 추적을 통해 이번 공격이 국가 차원의 APT(지능형 지속 공격)였음을 확인했다”며, “관련된 클라우드 서비스 제공업체, 프록시, 악용된 IP 등의 침해 지표(IOC)를 공유할 예정”이라고 밝혔다.
슬로우미스트에 따르면, 공격자는 pyyaml 라이브러리를 활용해 악성 코드를 전송하고, 이를 통해 대상 컴퓨터와 서버를 원격으로 제어한 것으로 드러났다. 이러한 방식은 대부분의 백신 프로그램을 우회할 수 있어 탐지가 어려운 것으로 알려졌다.
유시안은 “해커의 주요 목표는 암호화폐 거래소의 인프라를 장악하고, 사용자 지갑을 제어한 후 대량의 암호화폐를 불법적으로 이체하는 것”이라며, 추가 분석을 통해 유사한 악성 샘플을 다수 확보했다고 밝혔다.
슬로우미스트는 이번 공격에서 사용된 소셜 엔지니어링, 취약점 악용, 권한 상승, 인트라넷 침투, 자금 이체 등 일련의 전술을 분석해 발표했다. 또한 실질적인 보안 강화를 위한 제안을 정리해 업계와 공유하며, “더 많은 기관이 보안 기능을 개선하고, 잠재적인 위협을 줄이는 데 기여하길 바란다”고 밝혔다.
pyyaml
pyyaml은 파이썬(Python) 프로그래밍 언어에서 YAML(야믈) 형식의 데이터를 읽고 쓸 수 있도록 해주는 라이브러리다. YAML은 사람이 읽고 쓰기 쉬운 데이터 직렬화 형식으로, 구성 파일(config file)이나 데이터 저장 등에 자주 사용된다.
