Lazarus Group

2023 年動態(tài)

根據(jù) 2023 年的公開信息，截止到 6 月份，仍然沒有任何重大加密貨幣盜竊案被歸因為朝鮮黑客 Lazarus Group。從鏈上活動來看，朝鮮黑客 Lazarus Group 主要在清洗 2022 年盜竊的加密貨幣資金，其中包括 2022 年 6 月 23 日 Harmony 跨鏈橋遭受攻擊損失的約 1 億美元的資金。

后續(xù)的事實卻表明，朝鮮黑客 Lazarus Group 除了在清洗 2022 年盜竊的加密貨幣資金以外，其他的時間也沒有閑著，這個黑客團伙在黑暗中蟄伏著，暗中地進行 APT 相關(guān)的攻擊活動。這些活動直接導致了從 6 月 3 日開始的加密貨幣行業(yè)的 “黑暗 101 日”。

在 “黑暗 101 日” 期間，共計有 5 個平臺被盜，被盜金額超 3 億美元，其中被盜對象多為中心化服務平臺。

9 月 12 日左右，慢霧聯(lián)合合作伙伴發(fā)現(xiàn)黑客團伙 Lazarus Group 定向?qū)用茇泿判袠I(yè)進行的大規(guī)模 APT 攻擊活動。攻擊手法如下：首先是進行身份偽裝，通過實人認證騙過審核人員并成為真實客戶，而后真實入金存款。在此客戶身份掩護下，在之后多個官方人員和客戶（攻擊者）溝通時間點上針對性地對官方人員精準投放 Mac 或 Windows 定制木馬，獲得權(quán)限后進行內(nèi)網(wǎng)橫向移動，長久潛伏從而達到盜取資金的目的。

美國 FBI 同樣關(guān)注著加密貨幣生態(tài)的重大盜竊案，并在新聞稿中公開說明由朝鮮黑客 Lazarus Group 操縱的事件。以下是 FBI 于 2023 年發(fā)布的關(guān)于朝鮮黑客 Lazarus Group 的相關(guān)新聞稿：

• 1 月 23 日，F(xiàn)BI 確認(https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft) 朝鮮黑客 Lazarus Group 應該對 Harmony Hack 事件負責。

• 8 月 22 日，美國聯(lián)邦調(diào)查局(FBI) 發(fā)布通告(https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) 稱，朝鮮黑客組織涉及 Atomic Wallet、 Alphapo 和 CoinsPaid 的黑客攻擊，共竊取 1.97 億美元的加密貨幣。

• 9 月 6 日，美國聯(lián)邦調(diào)查局(FBI) 發(fā)布新聞稿(https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk)，確認朝鮮黑客 Lazarus Group 應對 Stake.com 加密貨幣賭博平臺被盜 4100萬美元事件負責。

洗錢方式分析

根據(jù)我們的分析，朝鮮黑客 Lazarus Group 的洗錢方式也隨著時間在不斷進化，隔一段時間就會有新型的洗錢方式出現(xiàn)，洗錢方式變化的時間表如下表：

團伙畫像分析

基于 InMist 情報網(wǎng)絡(luò)合作伙伴的大力情報相關(guān)支持，慢霧 AML 團隊對這些被盜事件與黑客團伙 Lazarus Group 相關(guān)的數(shù)據(jù)進行跟進分析，進而得出黑客團伙 Lazarus Group 的部分畫像：

• 常使用歐洲人、土耳其人的身份作為偽裝。

• 已經(jīng)掌握到的數(shù)十個 IP 信息、十數(shù)個郵箱信息及部分脫敏后身份信息：

• 111.*.*.49

• 103.*.*.162

• 103.*.*.205

• 210.*.*.9

• 103.*.*.29

• 103.*.*.163

• 154.*.*.10

• 185.*.*.217

Wallet Drainers

注：本小節(jié)由 Scam Sniffer 傾情撰寫，在此表示感謝。

概覽

Wallet Drainers 作為一種加密貨幣相關(guān)的惡意軟件，在過去的一年里取得了顯著的"成功"。這些軟件被部署在釣魚網(wǎng)站上，騙取用戶簽署惡意交易，進而盜取其加密貨幣錢包中的資產(chǎn)。這些釣魚活動以多種形式不斷地攻擊普通用戶，導致許多人在無意識地簽署惡意交易后遭受了重大財產(chǎn)損失。

被盜統(tǒng)計

在過去一年，Scam Sniffer 監(jiān)控到 Wallet Drainers 已經(jīng)從大約 32 萬受害者中盜取了將近 2.95 億美金的資產(chǎn)。

被盜趨勢

值得一提的是，3 月 11 號這一天有接近 700 萬美金被盜。大部分是因為 USDC 匯率波動，遭遇了假冒 Circle 的釣魚網(wǎng)站。也有大量的被盜臨近 3 月 24 號 Arbitrum 的 Discord 被黑以及后續(xù)的空投。

每次波峰都伴隨著關(guān)聯(lián)群體性事件?？赡苁强胀叮部赡苁呛诳褪录?。

值得注意的 Wallet Drainers

隨著 ZachXBT 揭露 Monkey Drainer 后，他們在活躍了 6 個月后宣布退出，然后 Venom 接替了他們的大部分客戶。隨后 MS, Inferno, Angel, Pink 也都在 3 月份左右出現(xiàn)。隨著 Venom 在 4 月份左右停止服務，大部分的釣魚團伙轉(zhuǎn)向了使用其他的服務。按照 20% 的 Drainer 費用，他們通過出售服務獲利至少 4700 萬美金。

Wallet Drainers 趨勢

通過分析趨勢可以發(fā)現(xiàn)，釣魚活動相對來講一直在持續(xù)增長。而且在每一個 Drainer 退出后都會有新的 Drainer 替代他們，比如近期在 Inferno 宣布退出后，Angel 似乎成為了新的替代品。

他們是如何發(fā)起釣魚活動的？

釣魚網(wǎng)站獲取流量的方式可以大致主要分為幾類：

• 黑客攻擊

• 官方項目 Discord 和 Twitter 被黑

• 官方項目前端或使用的庫被攻擊

• 自然流量

• 空投 NFT 或 Token

• Discord 鏈接失效被占用

• Twitter 垃圾提醒和評論

• 付費流量

• Google 搜索廣告

• Twitter 廣告

黑客攻擊雖然影響面大，但往往反應足夠及時，一般 10-50 分鐘整個社區(qū)都有所行動。而空投、自然流量、付費廣告、以及 Discord 鏈接失效被占用，這些方式則更加不易引起察覺。除此之外，還有更加針對性的對個人的私信釣魚等。

常見的釣魚簽名

針對不同的資產(chǎn)類型也有著不同的方式來發(fā)起惡意釣魚簽名，以上是一些對不同類資產(chǎn)常見的釣魚簽名方式。Drainers 會根據(jù)受害者錢包所擁有的資產(chǎn)類型來決定發(fā)起什么樣的惡意釣魚簽名。

從利用 GMX 的 signalTransfer 盜取 Reward LP token 的案例中，我們可以發(fā)現(xiàn)他們對特定資產(chǎn)的釣魚利用方式已經(jīng)到了很精細化的研究。

更多的使用智能合約

1）Multicall

從 Inferno 開始，他們也開始更多的資源在使用合約技術(shù)上。比如 Split 手續(xù)費需要分兩筆交易進行，而這有可能因速度不夠快導致在第二筆轉(zhuǎn)賬的時候被受害者提前撤銷授權(quán)。因此，為了提高效率，他們便使用 multilcall 來進行更高效的資產(chǎn)轉(zhuǎn)移。

2）CREATE2 & CREATE

同樣為了繞過一些錢包的安全驗證，他們也開始嘗試使用 create2 或 create 動態(tài)生成臨時地址。這將導致錢包端的黑名單失去作用，還增加了釣魚研究的難度。因為你不簽名就不知道資產(chǎn)會被轉(zhuǎn)移到什么地址，而臨時地址不具備分析意義。這比起去年來說是很大的變化。

釣魚網(wǎng)站

通過分析釣魚網(wǎng)站的數(shù)量趨勢，可以明顯看到釣魚活動每個月都在逐步增長，這跟穩(wěn)定的 wallet drainer 服務有很大關(guān)系。

以上是這些釣魚網(wǎng)站的主要使用的域名注冊商。通過分析服務器地址可以發(fā)現(xiàn)，他們大都使用了 Cloudflare 來隱藏真實的服務器地址。

洗錢工具

Sinbad

Sinbad 是一個成立于 2022 年 10 月 5 日的比特幣混合器，它會模糊交易細節(jié)以隱藏鏈上的資金流動。

美國財政部將 Sinbad 描述為“虛擬貨幣混合器，是 OFAC 指定的朝鮮黑客組織 Lazarus 集團的主要洗錢工具”。Sinbad 處理了來自 Horizon Bridge 和 Axie Infinity 黑客攻擊的資金，還轉(zhuǎn)移了與“逃避制裁、販毒、購買兒童性虐待材料以及在暗網(wǎng)市場上進行其他非法銷售”相關(guān)的資金。

Alphapo 黑客(Lazarus Group) 曾在洗錢過程中使用 Sinbad，如交易：

(https://oxt.me/transaction/2929e9d0055a431e1879b996d0d6f70aa607bb123d12bfad42e1f507d1d200a5)

Tornado Cash

(https://dune.com/misttrack/mixer-2023)

Tornado Cash 是一種完全去中心化的非托管協(xié)議，通過打破源地址和目標地址之間的鏈上鏈接來提高交易隱私。為了保護隱私，Tornado Cash 使用一個智能合約，接受來自一個地址的 ETH 和其他代幣存款，并允許他們提款到不同的地址，即以隱藏發(fā)送地址的方式將 ETH 和其他代幣發(fā)送到任何地址。

2023 年用戶共計存入 342,042 ETH（約 6.14 億美元）到 Tornado Cash，共計從 Tornado Cash 提款 314,740 ETH（約 5.67 億美元）。

eXch

(https://dune.com/misttrack/mixer-2023)

2023 年用戶共計存入 47,235 ETH（約 9014 萬美元）到 eXch，共計存入 25,508,148 ERC20 穩(wěn)定幣（約 2550 萬美元）到 eXch。

Railgun

Railgun 利用 zk-SNARKs 密碼學技術(shù)使交易完全不可見。Railgun 通過在其隱私系統(tǒng)內(nèi)“shielding”用戶的代幣，使得每筆交易在區(qū)塊鏈上都顯示為從 Railgun 合約地址發(fā)送。

2023 年初，美國聯(lián)邦調(diào)查局表示，朝鮮黑客團伙 Lazarus Group 用 Railgun 來清洗從 Harmony 的 Horizon Bridge 竊取的超過 6000 萬美元的資金。

總結(jié)

本篇文章介紹了朝鮮黑客 Lazarus Group 23 年的動態(tài)，慢霧安全團隊持續(xù)關(guān)注該黑客團伙，并對其動態(tài)和洗錢方式進行了總結(jié)分析，輸出團伙畫像。23 年釣魚團伙猖獗，給區(qū)塊鏈行業(yè)造成了巨額資金損失，且這類團伙的行動呈現(xiàn)“接力”的特征，其持續(xù)、大規(guī)模的攻擊使得行業(yè)的安全面臨較大的挑戰(zhàn)，在此感謝 Web3 反詐騙平臺 Scam Sniffer 貢獻了關(guān)于釣魚團伙 Wallet Drainers 的披露，我們相信這部分內(nèi)容對于了解其工作方式和獲利情況具有重要的參考意義。最后，我們還對黑客常用的洗錢工具進行了介紹。

完整報告下載：

https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(CN).pdf