GreedyBear 해킹 그룹의 최근 활동
러시아 해킹 그룹 GreedyBear가 최근 몇 달 동안 활동을 확대하고 있습니다. Koi Security의 연구에 따르면 이들은 150개의 “무기화된 Firefox 확장 프로그램”을 사용하여 국제 및 영어 사용자를 대상으로 공격하고 있습니다.
산업 규모의 암호화폐 절도
Koi는 블로그에 연구 결과를 발표하며 이 그룹이 “산업 규모의 암호화폐 절도를 재정의했다”고 보고했습니다. 이들은 150개의 무기화된 Firefox 확장 프로그램, 500개에 가까운 악성 실행 파일, 그리고 “수십 개”의 피싱 웹사이트를 통해 지난 5주 동안 100만 달러 이상을 훔쳤습니다.
“Firefox 캠페인은 지금까지 가장 수익성이 높은 공격 경로이며, 보고된 100만 달러의 대부분을 얻었다” – Koi의 CTO Idan Dardikman
공격 방법과 기술
이 특정한 수법은 MetaMask, Exodus, Rabby Wallet, TronLink와 같은 널리 다운로드되는 암호화폐 지갑의 가짜 버전을 만드는 것입니다. GreedyBear의 운영자들은 Extension Hollowing을 사용하여 마켓플레이스 보안 조치를 우회하며, 처음에는 비악성 버전의 확장 프로그램을 업로드한 후 악성 코드로 앱을 업데이트합니다.
그들은 또한 확장 프로그램에 대한 가짜 리뷰를 게시하여 신뢰성과 신뢰감을 주는 잘못된 인상을 줍니다. 그러나 다운로드된 후, 악성 확장 프로그램은 지갑 자격 증명을 훔치고, 이를 통해 암호화폐를 탈취합니다.
확장된 공격 범위
GreedyBear는 이 방법을 사용해 단 1개월 만에 100만 달러를 훔칠 수 있었으며, 이전 캠페인(올해 4월에서 7월 사이 활동)에서는 단 40개의 확장 프로그램만 사용했던 것에 비해 운영 규모를 크게 확대했습니다.
이 그룹의 다른 주요 공격 방법은 거의 500개의 악성 Windows 실행 파일을 포함하며, 이는 러시아 웹사이트에 추가되어 불법 복제 또는 재포장된 소프트웨어를 배포하고 있습니다. 이러한 실행 파일에는 자격 증명 훔치기, 랜섬웨어 소프트웨어 및 트로이 목마가 포함되어 있으며, Koi Security는 이를 통해 “전반적인 악성 소프트웨어 배포 파이프라인이 있으며, 필요에 따라 전술을 전환할 수 있다”고 제안했습니다.
피싱 웹사이트와 중앙 허브
이 그룹은 또한 디지털 지갑, 하드웨어 장치 또는 지갑 수리 서비스와 같은 합법적인 암호화폐 관련 서비스를 제공하는 척하는 수십 개의 피싱 웹사이트를 만들었습니다. GreedyBear는 이러한 웹사이트를 사용해 잠재적인 피해자에게 개인 데이터와 지갑 자격 증명을 입력하도록 유도하며, 이를 통해 자금을 훔칩니다.
“Firefox 캠페인은 더 글로벌/영어 사용자를 대상으로 했고, 악성 실행 파일은 더 러시아어 사용자를 대상으로 했다” – Idan Dardikman
다양한 공격 방법과 목표에도 불구하고 Koi는 “거의 모든” GreedyBear 공격 도메인이 단일 IP 주소인 185.208.156.66로 연결된다고 보고했습니다. 이 주소는 조정 및 수집을 위한 중앙 허브 역할을 하여 GreedyBear 해커들이 “운영을 간소화”할 수 있도록 합니다.
안전한 사용을 위한 조언
Dardikman은 단일 IP 주소가 “긴밀한 중앙 집중식 제어”를 의미하며 분산 네트워크가 아님을 강조했습니다. “이는 국가 후원이 아닌 조직적인 사이버 범죄를 시사합니다”라고 그는 덧붙였습니다. Dardikman은 GreedyBear가 계속해서 활동할 가능성이 높다고 언급하며 그들의 확장하는 범위를 피하기 위한 몇 가지 팁을 제공했습니다.
- 검증된 개발자로부터 긴 역사를 가진 확장 프로그램만 설치하세요.
- 항상 불법 복제 소프트웨어 사이트를 피하세요.
- 공식 지갑 소프트웨어만 사용하고 브라우저 확장 프로그램은 사용하지 마세요.
- 상당한 암호화폐 보유를 위해 하드웨어 지갑을 사용하되, 공식 제조업체 웹사이트에서만 구매하세요.
Dardikman은 “GreedyBear는 결제 정보와 자격 증명을 훔치기 위해 가짜 하드웨어 지갑 사이트를 만듭니다”라고 말했습니다.
