Lazarus Group
2023年对于朝鲜黑客组织Lazarus Group而言是充满变化的一年。在上半年,公开信息显示该组织相对沉寂,截至6月份尚未出现被明确归因于该组织的大型加密货币盗窃案件。然而这种表面平静下暗流涌动,链上数据分析表明,Lazarus Group正忙于清洗2022年窃取的加密货币资产,特别是6月23日Harmony跨链桥被盗的约1亿美元资金。
随着时间推移,真相逐渐浮出水面。这个臭名昭著的黑客组织并未真正蛰伏,而是在暗中进行着APT攻击活动。这些隐秘行动最终导致了加密货币行业自6月3日起的”黑暗101日”。在这段时期内,共有5个平台遭受攻击,损失金额超过3亿美元,其中以中心化服务平台为主要目标。
9月中旬,慢雾安全团队与合作伙伴发现Lazarus Group针对加密货币行业发起了大规模APT攻击。该组织的攻击手法极具欺骗性:首先通过身份伪装完成实人认证,获取真实客户身份;随后以正常客户身份进行入金操作;最后在与平台客服沟通时,针对性地投放定制木马程序,获取系统权限后实施内网渗透,长期潜伏伺机盗取资金。
美国FBI持续关注加密货币领域的重大盗窃案件,并在2023年多次发布与Lazarus Group相关的公告。1月23日,FBI确认该组织对Harmony跨链桥攻击事件负责;8月22日,FBI指出Lazarus Group涉嫌Atomic Wallet、Alphapo和CoinsPaid三起黑客攻击,涉案金额达1.97亿美元;9月6日,FBI再次确认该组织对Stake.com赌博平台4100万美元被盗案负有责任。
在洗钱方式方面,Lazarus Group展现出持续进化的能力。我们的分析显示,该组织定期更新洗钱手法,采用越来越复杂的技术来掩盖资金流向。
基于InMist情报网络提供的数据支持,慢雾AML团队对Lazarus Group进行了深入画像分析。该组织惯常使用欧洲和土耳其身份作为伪装,已掌握数十个IP地址、十余个邮箱及部分脱敏身份信息。这些发现为追踪该组织活动提供了重要线索。
Wallet Drainers
本小节内容由Scam Sniffer团队提供,特此致谢。
过去一年中,Wallet Drainers这类加密货币恶意软件展现出惊人的破坏力。这些软件通常被植入钓鱼网站,诱导用户签署恶意交易,从而盗取钱包资产。钓鱼攻击形式多样且持续演变,导致大量用户在不知情的情况下蒙受重大损失。
Scam Sniffer监测数据显示,仅一年时间内,Wallet Drainers就造成约32万受害者损失近2.95亿美元。其中3月11日单日损失高达700万美元,主要源于USDC汇率波动期间假冒Circle的钓鱼网站猖獗,以及3月24日前后Arbitrum Discord被黑及空投事件引发的连锁反应。
在ZachXBT曝光Monkey Drainer后,该组织宣布退出,但很快被Venom取代。随后MS、Inferno、Angel、Pink等新型Drainer相继涌现。据估算,这些组织通过收取20%的服务费已获利至少4700万美元。
钓鱼网站获取流量的方式日趋多元化,包括黑客攻击官方Discord和Twitter账号、利用项目前端漏洞、制造虚假空投活动、抢占失效Discord链接、投放Twitter垃圾信息,以及购买Google和Twitter广告等。其中黑客攻击虽然影响范围大但响应迅速,而自然流量和付费广告等方式更具隐蔽性。
值得注意的是,Wallet Drainers的技术手段也在不断升级。从Inferno开始,攻击者开始更多采用智能合约技术,如使用Multicall批量处理交易提高效率,利用CREATE2和CREATE生成临时地址规避钱包安全检测等。这些技术演进大大增加了防御难度。
钓鱼网站数量呈现持续增长态势,这与Wallet Drainer服务的稳定供应密切相关。分析显示,攻击者主要使用特定域名注册商,并普遍借助Cloudflare隐藏真实服务器地址。
洗钱工具
Sinbad
成立于2022年10月的比特币混币器Sinbad已成为Lazarus Group的主要洗钱工具。美国财政部指出,Sinbad处理了来自Horizon Bridge和Axie Infinity黑客攻击的资金,还涉及毒品交易、儿童色情等非法活动洗钱。Alphapo黑客事件中,Lazarus Group就曾使用Sinbad转移赃款。
Tornado Cash
这款去中心化混币协议通过智能合约切断存款与提款地址间的链上关联。2023年用户共计存入34.2万ETH(约6.14亿美元),提款31.47万ETH(约5.67亿美元)。
eXch
2023年该混币器接收了47,235 ETH(约9014万美元)和2550万美元的ERC20稳定币。
Railgun
采用zk-SNARKs技术的Railgun能完全隐藏交易细节。FBI确认Lazarus Group使用该工具清洗了从Harmony跨链桥窃取的超6000万美元资金。
总结
本文详细梳理了朝鲜黑客组织Lazarus Group在2023年的活动轨迹,慢雾安全团队对其攻击模式和洗钱手段进行了深入分析。同时,我们也关注到Wallet Drainers钓鱼团伙给行业带来的严重威胁,特别感谢Scam Sniffer团队提供的专业洞见。面对持续演变的网络安全挑战,行业需要保持高度警惕。
完整报告下载:https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(CN).pdf
声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/11144.html
