러시아 해킹 그룹 그리디베어는 최근 몇 달 동안 작전을 확대하여, Koi 보안의 연구에 따르면 150개의 "무기화된 파이어폭스 확장 프로그램"을 사용해 국제 및 영어권 피해자를 대상으로 삼았습니다.
미국과 이스라엘 기반의 Koi가 블로그에 연구 결과를 게시한 바에 따르면 해당 그룹은 150개의 무기화된 파이어폭스 확장 프로그램, 거의 500개의 악성 실행 파일, 그리고 "수십 개"의 피싱 웹사이트를 사용하여 지난 5주 동안 100만 달러 이상을 훔쳤습니다.
디크립트(Decrypt)와의 인터뷰에서 Koi의 최고기술책임자 이단 다르디크만은 파이어폭스 캠페인이 "지금까지 가장 수익성 높은" 공격 경로라며, 보고된 100만 달러 중 대부분을 "벌어들였다"고 말했습니다.
이 특정 전략은 메타마스크, 이그소더스, 래비 월렛, 트론링크와 같이 널리 다운로드되는 암호화폐 지갑의 가짜 버전을 만드는 것을 포함합니다.
그리디베어 요원들은 익스텐션 할로잉을 사용하여 마켓플레이스 보안 조치를 우회하고, 처음에는 비악성 버전의 확장 프로그램을 업로드한 후 악성 코드로 앱을 업데이트합니다.
그들은 또한 확장 프로그램에 대한 가짜 리뷰를 게시하여 신뢰와 신뢰성의 잘못된 인상을 줍니다.
하지만 다운로드되면 악성 확장 프로그램은 지갑 자격 증명을 훔치고, 이를 통해 암호화폐를 훔칩니다.
그리디베어는 이 방법으로 1개월 조금 넘게 100만 달러를 훔칠 수 있었을 뿐만 아니라, 이전 캠페인과 비교해 작전 규모를 크게 확대했습니다. 올해 4월부터 7월 사이에 활동했던 이전 캠페인에서는 단 40개의 확장 프로그램만 사용했습니다.
그룹의 다른 주요 공격 방법은 거의 500개의 악성 윈도우 실행 파일을 러시아 불법 또는 재포장된 소프트웨어 배포 웹사이트에 추가하는 것입니다.
이러한 실행 파일에는 자격 증명 훔치기, 랜섬웨어 소프트웨어, 트로이 목마가 포함되며, Koi 보안은 이것이 "필요에 따라 전술을 변경할 수 있는 광범위한 맬웨어 배포 파이프라인"을 나타낸다고 제안합니다.
그룹은 또한 수십 개의 피싱 웹사이트를 만들어 디지털 지갑, 하드웨어 장치 또는 지갑 수리 서비스와 같은 합법적인 암호화폐 관련 서비스를 제공하는 것처럼 가장했습니다.
그리디베어는 이러한 웹사이트를 통해 잠재적 피해자들이 개인 데이터와 지갑 자격 증명을 입력하도록 유도하고, 이를 통해 자금을 훔칩니다.
"파이어폭스 캠페인은 더 글로벌/영어권 피해자를 대상으로 했고, 악성 실행 파일은 더 러시아어권 피해자를 대상으로 했다는 점을 언급할 가치가 있습니다."라고 디크립트(Decrypt)와의 인터뷰에서 이단 다르디크만이 설명했습니다.
공격 방법과 대상의 다양성에도 불구하고, Koi는 "거의 모든" 그리디베어 공격 도메인이 단일 IP 주소인 185.208.156.66으로 연결된다고 보고합니다.
보고서에 따르면, 이 주소는 조정 및 수집을 위한 중앙 허브 역할을 하여 그리디베어 해커들이 "작전을 간소화"할 수 있게 합니다.
다르디크만은 단일 IP 주소가 분산 네트워크가 아닌 "엄격한 중앙 집중식 통제"를 의미한다고 말했습니다.
"이는 국가 후원이 아닌 조직적인 사이버 범죄를 시사합니다. 정부 작전은 일반적으로 단일 실패 지점을 피하기 위해 분산된 인프라를 사용합니다." 그는 덧붙여 "국가의 지시가 아닌 수익을 위해 운영되는 러시아 범죄 그룹일 가능성이 높습니다."
다르디크만은 그리디베어가 작전을 계속할 가능성이 높으며, 그들의 확장하는 영향력을 피하기 위한 몇 가지 팁을 제공했습니다.
"긴 이력을 가진 검증된 개발자의 확장 프로그램만 설치하세요"라고 그는 말하며, 사용자들이 불법 소프트웨어 사이트를 항상 피해야 한다고 덧붙였습니다.
그는 또한 브라우저 확장 프로그램이 아닌 공식 지갑 소프트웨어만 사용할 것을 권장했으며, 장기 투자자라면 소프트웨어 지갑에서 벗어나야 한다고 조언했습니다.
"상당한 암호화폐 보유분에 대해서는 하드웨어 지갑을 사용하세요. 단, 공식 제조업체 웹사이트에서만 구매하세요. 그리디베어는 결제 정보와 자격 증명을 훔치기 위해 가짜 하드웨어 지갑 사이트를 만듭니다."라고 그는 말했습니다.
