Lazarus Group
2023 年動(dòng)態(tài)
根據(jù) 2023 年的公開信息,截止到 6 月份����,仍然沒(méi)有任何重大加密貨幣盜竊案被歸因?yàn)槌r黑客 Lazarus Group��。從鏈上活動(dòng)來(lái)看�����,朝鮮黑客 Lazarus Group 主要在清洗 2022 年盜竊的加密貨幣資金���,其中包括 2022 年 6 月 23 日 Harmony 跨鏈橋遭受攻擊損失的約 1 億美元的資金����。
后續(xù)的事實(shí)卻表明����,朝鮮黑客 Lazarus Group 除了在清洗 2022 年盜竊的加密貨幣資金以外,其他的時(shí)間也沒(méi)有閑著���,這個(gè)黑客團(tuán)伙在黑暗中蟄伏著�����,暗中地進(jìn)行 APT 相關(guān)的攻擊活動(dòng)����。這些活動(dòng)直接導(dǎo)致了從 6 月 3 日開始的加密貨幣行業(yè)的 “黑暗 101 日”。
在 “黑暗 101 日” 期間����,共計(jì)有 5 個(gè)平臺(tái)被盜����,被盜金額超 3 億美元���,其中被盜對(duì)象多為中心化服務(wù)平臺(tái)�。
9 月 12 日左右�,慢霧聯(lián)合合作伙伴發(fā)現(xiàn)黑客團(tuán)伙 Lazarus Group 定向?qū)用茇泿判袠I(yè)進(jìn)行的大規(guī)模 APT 攻擊活動(dòng)。攻擊手法如下:首先是進(jìn)行身份偽裝����,通過(guò)實(shí)人認(rèn)證騙過(guò)審核人員并成為真實(shí)客戶,而后真實(shí)入金存款�。在此客戶身份掩護(hù)下,在之后多個(gè)官方人員和客戶(攻擊者)溝通時(shí)間點(diǎn)上針對(duì)性地對(duì)官方人員精準(zhǔn)投放 Mac 或 Windows 定制木馬����,獲得權(quán)限后進(jìn)行內(nèi)網(wǎng)橫向移動(dòng)�����,長(zhǎng)久潛伏從而達(dá)到盜取資金的目的�。
美國(guó) FBI 同樣關(guān)注著加密貨幣生態(tài)的重大盜竊案��,并在新聞稿中公開說(shuō)明由朝鮮黑客 Lazarus Group 操縱的事件���。以下是 FBI 于 2023 年發(fā)布的關(guān)于朝鮮黑客 Lazarus Group 的相關(guān)新聞稿:
-
1 月 23 日,F(xiàn)BI 確認(rèn)(https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft) 朝鮮黑客 Lazarus Group 應(yīng)該對(duì) Harmony Hack 事件負(fù)責(zé)��。
-
8 月 22 日���,美國(guó)聯(lián)邦調(diào)查局(FBI) 發(fā)布通告(https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) 稱�,朝鮮黑客組織涉及 Atomic Wallet�����、 Alphapo 和 CoinsPaid 的黑客攻擊��,共竊取 1.97 億美元的加密貨幣���。
-
9 月 6 日��,美國(guó)聯(lián)邦調(diào)查局(FBI) 發(fā)布新聞稿(https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk)���,確認(rèn)朝鮮黑客 Lazarus Group 應(yīng)對(duì) Stake.com 加密貨幣賭博平臺(tái)被盜 4100萬(wàn)美元事件負(fù)責(zé)���。
洗錢方式分析
根據(jù)我們的分析,朝鮮黑客 Lazarus Group 的洗錢方式也隨著時(shí)間在不斷進(jìn)化����,隔一段時(shí)間就會(huì)有新型的洗錢方式出現(xiàn),洗錢方式變化的時(shí)間表如下表:
團(tuán)伙畫像分析
基于 InMist 情報(bào)網(wǎng)絡(luò)合作伙伴的大力情報(bào)相關(guān)支持��,慢霧 AML 團(tuán)隊(duì)對(duì)這些被盜事件與黑客團(tuán)伙 Lazarus Group 相關(guān)的數(shù)據(jù)進(jìn)行跟進(jìn)分析��,進(jìn)而得出黑客團(tuán)伙 Lazarus Group 的部分畫像:
Wallet Drainers
注:本小節(jié)由 Scam Sniffer 傾情撰寫�,在此表示感謝�。
概覽
Wallet Drainers 作為一種加密貨幣相關(guān)的惡意軟件����,在過(guò)去的一年里取得了顯著的"成功"。這些軟件被部署在釣魚網(wǎng)站上��,騙取用戶簽署惡意交易�����,進(jìn)而盜取其加密貨幣錢包中的資產(chǎn)���。這些釣魚活動(dòng)以多種形式不斷地攻擊普通用戶,導(dǎo)致許多人在無(wú)意識(shí)地簽署惡意交易后遭受了重大財(cái)產(chǎn)損失�����。
被盜統(tǒng)計(jì)
在過(guò)去一年���,Scam Sniffer 監(jiān)控到 Wallet Drainers 已經(jīng)從大約 32 萬(wàn)受害者中盜取了將近 2.95 億美金的資產(chǎn)���。
被盜趨勢(shì)
值得一提的是,3 月 11 號(hào)這一天有接近 700 萬(wàn)美金被盜����。大部分是因?yàn)?USDC 匯率波動(dòng)���,遭遇了假冒 Circle 的釣魚網(wǎng)站。也有大量的被盜臨近 3 月 24 號(hào) Arbitrum 的 Discord 被黑以及后續(xù)的空投����。
每次波峰都伴隨著關(guān)聯(lián)群體性事件??赡苁强胀叮部赡苁呛诳褪录?。
值得注意的 Wallet Drainers
隨著 ZachXBT 揭露 Monkey Drainer 后,他們?cè)诨钴S了 6 個(gè)月后宣布退出�����,然后 Venom 接替了他們的大部分客戶����。隨后 MS, Inferno, Angel, Pink 也都在 3 月份左右出現(xiàn)。隨著 Venom 在 4 月份左右停止服務(wù)��,大部分的釣魚團(tuán)伙轉(zhuǎn)向了使用其他的服務(wù)�����。按照 20% 的 Drainer 費(fèi)用,他們通過(guò)出售服務(wù)獲利至少 4700 萬(wàn)美金���。
Wallet Drainers 趨勢(shì)
通過(guò)分析趨勢(shì)可以發(fā)現(xiàn)�����,釣魚活動(dòng)相對(duì)來(lái)講一直在持續(xù)增長(zhǎng)����。而且在每一個(gè) Drainer 退出后都會(huì)有新的 Drainer 替代他們�,比如近期在 Inferno 宣布退出后,Angel 似乎成為了新的替代品����。
他們是如何發(fā)起釣魚活動(dòng)的?
釣魚網(wǎng)站獲取流量的方式可以大致主要分為幾類:
-
黑客攻擊
-
自然流量
-
空投 NFT 或 Token
-
Discord 鏈接失效被占用
-
Twitter 垃圾提醒和評(píng)論
-
付費(fèi)流量
黑客攻擊雖然影響面大�,但往往反應(yīng)足夠及時(shí)����,一般 10-50 分鐘整個(gè)社區(qū)都有所行動(dòng)。而空投�����、自然流量、付費(fèi)廣告����、以及 Discord 鏈接失效被占用,這些方式則更加不易引起察覺(jué)�。除此之外,還有更加針對(duì)性的對(duì)個(gè)人的私信釣魚等�����。
常見的釣魚簽名
針對(duì)不同的資產(chǎn)類型也有著不同的方式來(lái)發(fā)起惡意釣魚簽名�����,以上是一些對(duì)不同類資產(chǎn)常見的釣魚簽名方式�。Drainers 會(huì)根據(jù)受害者錢包所擁有的資產(chǎn)類型來(lái)決定發(fā)起什么樣的惡意釣魚簽名。
從利用 GMX 的 signalTransfer 盜取 Reward LP token 的案例中�����,我們可以發(fā)現(xiàn)他們對(duì)特定資產(chǎn)的釣魚利用方式已經(jīng)到了很精細(xì)化的研究���。
更多的使用智能合約
1)Multicall
從 Inferno 開始����,他們也開始更多的資源在使用合約技術(shù)上。比如 Split 手續(xù)費(fèi)需要分兩筆交易進(jìn)行��,而這有可能因速度不夠快導(dǎo)致在第二筆轉(zhuǎn)賬的時(shí)候被受害者提前撤銷授權(quán)��。因此�,為了提高效率,他們便使用 multilcall 來(lái)進(jìn)行更高效的資產(chǎn)轉(zhuǎn)移����。
2)CREATE2 & CREATE
同樣為了繞過(guò)一些錢包的安全驗(yàn)證,他們也開始嘗試使用 create2 或 create 動(dòng)態(tài)生成臨時(shí)地址��。這將導(dǎo)致錢包端的黑名單失去作用���,還增加了釣魚研究的難度�。因?yàn)槟悴缓灻筒恢蕾Y產(chǎn)會(huì)被轉(zhuǎn)移到什么地址���,而臨時(shí)地址不具備分析意義��。這比起去年來(lái)說(shuō)是很大的變化。
釣魚網(wǎng)站
通過(guò)分析釣魚網(wǎng)站的數(shù)量趨勢(shì)����,可以明顯看到釣魚活動(dòng)每個(gè)月都在逐步增長(zhǎng)�,這跟穩(wěn)定的 wallet drainer 服務(wù)有很大關(guān)系�。
以上是這些釣魚網(wǎng)站的主要使用的域名注冊(cè)商。通過(guò)分析服務(wù)器地址可以發(fā)現(xiàn)��,他們大都使用了 Cloudflare 來(lái)隱藏真實(shí)的服務(wù)器地址����。
洗錢工具
Sinbad
Sinbad 是一個(gè)成立于 2022 年 10 月 5 日的比特幣混合器,它會(huì)模糊交易細(xì)節(jié)以隱藏鏈上的資金流動(dòng)���。
美國(guó)財(cái)政部將 Sinbad 描述為“虛擬貨幣混合器�����,是 OFAC 指定的朝鮮黑客組織 Lazarus 集團(tuán)的主要洗錢工具”�����。Sinbad 處理了來(lái)自 Horizon Bridge 和 Axie Infinity 黑客攻擊的資金�����,還轉(zhuǎn)移了與“逃避制裁���、販毒�、購(gòu)買兒童性虐待材料以及在暗網(wǎng)市場(chǎng)上進(jìn)行其他非法銷售”相關(guān)的資金����。
Alphapo 黑客(Lazarus Group) 曾在洗錢過(guò)程中使用 Sinbad,如交易:
(https://oxt.me/transaction/2929e9d0055a431e1879b996d0d6f70aa607bb123d12bfad42e1f507d1d200a5)
Tornado Cash
(https://dune.com/misttrack/mixer-2023)
Tornado Cash 是一種完全去中心化的非托管協(xié)議�,通過(guò)打破源地址和目標(biāo)地址之間的鏈上鏈接來(lái)提高交易隱私。為了保護(hù)隱私����,Tornado Cash 使用一個(gè)智能合約,接受來(lái)自一個(gè)地址的 ETH 和其他代幣存款��,并允許他們提款到不同的地址��,即以隱藏發(fā)送地址的方式將 ETH 和其他代幣發(fā)送到任何地址���。
2023 年用戶共計(jì)存入 342,042 ETH(約 6.14 億美元)到 Tornado Cash�,共計(jì)從 Tornado Cash 提款 314,740 ETH(約 5.67 億美元)��。
eXch
(https://dune.com/misttrack/mixer-2023)
2023 年用戶共計(jì)存入 47,235 ETH(約 9014 萬(wàn)美元)到 eXch�����,共計(jì)存入 25,508,148 ERC20 穩(wěn)定幣(約 2550 萬(wàn)美元)到 eXch。
Railgun
Railgun 利用 zk-SNARKs 密碼學(xué)技術(shù)使交易完全不可見�����。Railgun 通過(guò)在其隱私系統(tǒng)內(nèi)“shielding”用戶的代幣�,使得每筆交易在區(qū)塊鏈上都顯示為從 Railgun 合約地址發(fā)送����。
2023 年初,美國(guó)聯(lián)邦調(diào)查局表示�����,朝鮮黑客團(tuán)伙 Lazarus Group 用 Railgun 來(lái)清洗從 Harmony 的 Horizon Bridge 竊取的超過(guò) 6000 萬(wàn)美元的資金����。
總結(jié)
本篇文章介紹了朝鮮黑客 Lazarus Group 23 年的動(dòng)態(tài),慢霧安全團(tuán)隊(duì)持續(xù)關(guān)注該黑客團(tuán)伙���,并對(duì)其動(dòng)態(tài)和洗錢方式進(jìn)行了總結(jié)分析�,輸出團(tuán)伙畫像�����。23 年釣魚團(tuán)伙猖獗,給區(qū)塊鏈行業(yè)造成了巨額資金損失��,且這類團(tuán)伙的行動(dòng)呈現(xiàn)“接力”的特征���,其持續(xù)���、大規(guī)模的攻擊使得行業(yè)的安全面臨較大的挑戰(zhàn),在此感謝 Web3 反詐騙平臺(tái) Scam Sniffer 貢獻(xiàn)了關(guān)于釣魚團(tuán)伙 Wallet Drainers 的披露��,我們相信這部分內(nèi)容對(duì)于了解其工作方式和獲利情況具有重要的參考意義��。最后�,我們還對(duì)黑客常用的洗錢工具進(jìn)行了介紹。
完整報(bào)告下載:
https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(CN).pdf
