lazarusholic

2023-04-05, Plainbit
https://blog.plainbit.co.kr/cisa-northkorea-ransomware-16syqxancddiijcuruzecckdbdwdf4vsec/
#Cryptocurrency

※ QLUE 솔루션에 익숙하지 않으신 분들은 QLUE 그래프 해석 글을 읽고 오시면 이해하는데 도움이 될 수 있습니다.
1. 16sYqXancDDiijcuruZecCkdBDwDf4vSEC 주소 정보
QLUE에서 조회한 16sYqXancDDiijcuruZecCkdBDwDf4vSEC 주소의 요약 정보는 위와 같으며 아래 표로 나타낼 수 있다.
|목록||값|
|Address Hash||16sYqXancDDiijcuruZecCkdBDwDf4vSEC|
|Balance (BTC)||0|
|Transactions||2|
|Cluster Name||-|
|Cluster Identifier||538807739|
|Number of Addresses in Cluster||5|
|BitRank Score||0 , High Risk|
|Entities and Flags||, [Ransomware, North Korea]|
|Received Transactions||1|
|Sent Transactions||1|
|Received Amount (BTC)||0.06|
|Sent Amount (BTC)||0.06|
|First Seen Receiving (UTC)||2019-07-24 18:51:27|
|Last Seen Receiving (UTC)||2019-07-24 18:51:27|
|First Seen Sending (UTC)||2019-07-25 14:56:16|
|Last Seen Sending (UTC)||2019-07-25 14:56:16|
해당 주소는 2019년 7월 24일 18시 51분 경에 처음으로 트랜잭션이 발생했고, 다음 날인 25일 14시 56분 경을 마지막으로 트랜잭션이 확인되지 않는다. 트랜잭션은 송·수신 각 1회씩 총 2번 발생했고, 총 0.06 BTC를 전송했다.
해당 주소는 Ransomware, North Korea 플래그를 부여 받았다. Ransomware 공격에 사용되었으며, 고위험 관할군에 속한 주소이기 때문에 BitRank Score는 0점으로 High Risk이다.
QLUE에서 식별할 수 있는 Cluster 식별 값은 538807739이며, 해당 클러스터에는 5개의 주소가 포함되어 있다.
2. 16sYqXancDDiijcuruZecCkdBDwDf4vSEC 주소 트랜잭션 추적
2-1) Output 트랜잭션 추적
1Mq7ak3RKMf2dfC3tkYhDtaa2d8yRiQoFA 주소로부터 전달 받은 0.06 BTC와 다른 주소에서 전송된 …