해커, 다크웹, 마약 시장을 담당하는 러시아 서비스 제공업체 Aeza Group이 제재를 받았습니다.

저자: Lisa&Liz

편집자: 리즈

배경

최근 미국 재무부 외국자산통제국(OFAC)은 랜섬웨어와 정보 도용 도구에 대한 호스팅 서비스를 제공한 혐의로 러시아에 본사를 둔 Aeza Group과 그 계열사에 대한 제재를 발표했습니다.

 (https://home.treasury.gov/news/press-releases/sb0185)

제재 대상에는 Aeza Group과 영국 위장 회사인 Aeza International Ltd., 러시아 자회사 2개(Aeza Logistic LLC와 Cloud Solutions LLC), 임원 4명(CEO Arsenii Penzev, 이사 Yurii Bozoyan, 기술 이사 Vladimir Gast, 관리자 Igor Knyazev) 및 암호화폐 지갑(TU4tDFRvcKhAZ1jdihojmBWZqvJhQCnJ4F)이 포함됩니다.

재무부 테러·금융정보 담당 차관보 대행 브래들리 T. 스미스는 "사이버 범죄자들은 Aeza Group과 같은 방탄 호스팅 업체에 크게 의존하여 파괴적인 랜섬웨어 공격을 감행하고, 미국 기술을 훔치고, 암시장에서 마약을 판매하고 있습니다."라고 말했습니다. "재무부는 이러한 범죄 생태계를 뒷받침하는 주요 노드, 인프라, 그리고 행위자들을 적발하기 위해 영국 및 기타 국제 파트너들과 긴밀히 협력할 것입니다."

이번 제재 조치는 국제 사법 기관들이 공격자 자체에 집중하던 것을 벗어나 그 배후에 있는 기술 인프라와 서비스 제공업체로까지 범위를 확대하고 있음을 시사합니다. 본 기사에서는 Aeza 그룹의 배경과 운영 방식을 정리하고, 온체인 자금세탁 방지 및 추적 도구인 MistTrack에 대한 분석을 통해 범죄 생태계에서 Aeza 그룹의 역할을 회복하는 방안을 제시합니다.

에자 그룹은 어떤 회사인가요?

 (https://www.pcmag.com/news/us-sanctions-russian-web-hosting-provider-aeza-for-fueling-malware)

Aeza Group은 러시아 상트페테르부르크에 본사를 둔 방탄 호스팅(BPH) 서비스 제공업체입니다. 랜섬웨어 조직, 정보 탈취 조직, 불법 마약 거래 플랫폼 등 사이버 범죄 조직에 오랫동안 전용 서버와 익명 호스팅 서비스를 제공해 왔습니다.

Aeza의 고객은 다음과 같습니다. Lumma와 Meduza와 같이 미국 방위 산업 기반과 글로벌 기술 기업을 공격해 온 악명 높은 정보 탈취 도구 운영자, 랜섬웨어 및 데이터 유출 조직인 BianLian과 RedLine, 그리고 악명 높은 러시아 다크웹 마약 시장인 Blacksprut 등이 있습니다. Aeza는 Blacksprut에 호스팅 서비스를 제공할 뿐만 아니라 기술 아키텍처 구축에도 참여합니다. OFAC에 따르면, Blacksprut은 펜타닐을 비롯한 합성 마약의 전 세계 유통에 널리 사용되어 공공 안전에 심각한 위협을 가하고 있습니다.

MistTrack 분석

온체인 자금세탁 방지 및 추적 플랫폼인 MistTrack의 분석에 따르면, 승인된 주소(TU4tDFRvcKhAZ1jdihojmBWZqvJhQCnJ4F)는 2023년부터 활성화되어 왔으며 USDT로 35만 달러 이상을 수신했습니다.

MistTrack 분석에 따르면 이 주소는 다음 개체와 상호 작용합니다.

자금 세탁을 위해 Cryptomus, WhiteBIT 등과 같은 여러 유명 거래 플랫폼/OTC로 자산을 이전합니다.
Garantex, Lumma 등 제재 대상 기관과 연관됨
Telegram에서 홍보하는 Stealer-as-a-Service 플랫폼과 연관됨;
다크웹 마약 시장인 블랙스프루트와 관련된 주소에 연결됨.

MistTrack 상대방 기능 분석에 따르면 주소의 상호작용 객체 비율은 다음과 같습니다.

또한, 7월 2일에는 Aeza의 Telegram이 여전히 활성화되어 있었고, 관리자가 사용자가 메인 사이트에 성공적으로 로그인할 수 없는 경우를 대비해 대체 URL을 공개한 사실도 확인했습니다.

조사 결과, OFAC이 Aeza에 대한 제재를 발표한 날과 같은 날에 두 개의 대체 URL이 생성된 것으로 밝혀졌습니다.

결론

에자 그룹에 대한 제재는 전 세계 규제 당국이 공격자뿐 아니라 그 배후에 있는 기술 서비스 네트워크까지 대상을 확대하고 있음을 보여줍니다. 수탁 기관, 익명 통신 도구, 결제 채널이 규정 준수 단속의 새로운 대상이 되고 있습니다. 기업, 거래소, 서비스 제공업체에게 KYC/KYT는 더 이상 "선택 사항"이 아닙니다. 고위험 대상과 실수로 사업적 관계를 맺을 경우, 공동 제재를 받을 위험이 있습니다.