これに先立ち、ロイター通信が入手した国連の機密報告書は、北朝鮮のハッカー集団ラザルス・グループが昨年仮想通貨取引所から資金を盗んだ後、今年３月に仮想通貨プラットフォームのトルネード・キャッシュを通じて１億４７５０万ドルを洗浄したことを明らかにしていた。

監視団らは以前の提出文書で国連安全保障理事会制裁委員会に対し、2017年から2024年の間に仮想通貨企業を狙った北朝鮮ハッカー容疑者による97件のサイバー攻撃（約36億ドル相当）を調査していると述べた。これらには、HTX 暗号通貨取引所から 1 億 4,750 万ドルが盗まれ、今年 3 月に洗浄された昨年末の攻撃が含まれます。

米国は2022年にトルネード・キャッシュに制裁を課し、2023年にはその共同創設者2人が北朝鮮関連のサイバー犯罪組織ラザラス・グループを含む10億ドル以上の資金洗浄を幇助した罪で起訴された。​

仮想通貨探偵ZachXBTの調査によると、ラザルス・グループは2020年8月から2023年10月の間に2億ドル相当の仮想通貨を法定通貨に洗浄した。

サイバーセキュリティの世界では、Lazarus Groupは大規模なサイバー攻撃と金融犯罪で長い間告発されてきた。その標的は特定の業界や地域に限定されず、銀行システムから仮想通貨取引所、政府機関から民間企業に至るまで世界中に及びます。次に、いくつかの典型的な攻撃ケースの分析に焦点を当て、Lazarus Group が複雑な戦略と技術的手段を通じてこれらの驚くべき攻撃をどのように実行することに成功したかを明らかにします。

Lazarus Group がソーシャル エンジニアリングとフィッシング攻撃を操作

この事件は、関連する欧州メディアの報道によるもので、Lazarus は以前、欧州や中東の軍事企業や航空宇宙企業をターゲットに、従業員を騙す目的で求人広告を掲載し、求職者に実行ファイルが展開された PDF をダウンロードするよう求めていました。フィッシング攻撃を実行します。​

ソーシャル エンジニアリング攻撃とフィッシング攻撃はいずれも、心理操作を利用して被害者をだまして警戒を緩め、リンクをクリックしたりファイルをダウンロードしたりするなどのアクションを実行させ、セキュリティを侵害しようとします。​

彼らのマルウェアにより、エージェントは被害者のシステムの脆弱性を狙い、機密情報を盗むことができます。

Lazarus は、仮想通貨決済プロバイダー CoinsPaid に対する 6 か月にわたる作戦中に同様の手口を使用し、結果として 3,700 万ドルを窃取しました。

キャンペーンを通じて、エンジニアに偽の求人を送り、分散型サービス妨害などの技術攻撃を開始し、総当たりクラッキングに使用される可能性のある多数のパスワードを送信しました。

CoinBerry や Unibright などの攻撃を作成する

2020年8月24日、カナダの仮想通貨取引所CoinBerryのウォレットが盗まれた。

ハッカーのアドレス:

0xA06957c9C8871ff248326A1DA552213AB26A11AE 

2020年9月11日、秘密鍵の漏洩により、Unbrightチームが管理する複数のウォレットで40万米ドルの不正送金が発生しました。

ハッカーのアドレス:

0x6C6357F30FCc3517c2E7876BC609e6d7d5b0Df43 

2020年10月6日、セキュリティ侵害により、75万ドル相当の暗号資産がCoinMetroホットウォレットから許可なく転送されました。

ハッカーのアドレス:

0x044bf69ae74fcd8d1fc11da28adbad82bbb42351

Beosin KYT: 盗難資金のフローチャート

2021 年の初めに、さまざまな攻撃からの資金が次のアドレスに集められました。

0x0864b5ef4d8086cd0062306f39adea5da5bd2603。

2021 年 1 月 11 日、0x0864b5 アドレスで 3,000 ETH が Tornado Cash に入金され、その後 0x1031ffaf5d00c6bc1ee0978eb7ec196b1d164129 アドレスを通じて 1,800 ETH 以上が Tornado Cash に入金されました。

その後、1月11日から1月15日にかけて、Tornado Cashからアドレス0x05492cbc8fb228103744ecca0df62473b2858810に4,500ETH近くが引き出されました。​

資金追跡チャートによると、攻撃者は何度も送金や交換を行った後、最終的に他のセキュリティ事件からの資金を集め、引き出したアドレスに集めたことがわかります。入金アドレスとPaxful入金アドレス。

Nexus Mutual 創設者 (Hug Karp) がハッキングされた

2020年12月14日、Nexus Mutualの創設者ヒュー・カープ氏は37万NXM（830万ドル）を盗まれた。

Beosin KYT: 盗難資金のフローチャート

盗まれた資金は以下のアドレス間で送金され、他の資金と交換されました。

0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1 

0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b 

0x09923e35f19687a524bbca7d42b92b6748534f25 

0x0784051d5136a5ccb47ddb3a15243890f5268482 

0x0adab45946372c2be1b94eead4b385210a8ebf0b

Lazarus Group はこれらのアドレスを使用して資金の混乱、分散、回収、その他の操作を実行しました。たとえば、一部の資金はクロスチェーンを通じてビットコインチェーンに転送され、その後一連の転送を通じてイーサリアムチェーンに戻ります。その後、資金は通貨混合プラットフォームを通じて混合され、その後出金に送られます。プラットホーム。​

2020 年 12 月 16 日から 12 月 20 日まで、ハッカー アドレスの 1 つ 0x078405 が 2,500 ETH 以上を Tornado Cash に送信しました。数時間後、特徴的な相関関係により、0x78a9903af04c8e887df5290c91917f71ae028137 アドレスが出金操作を開始したことがわかります。​

ハッカーは送金と交換を通じて、前回の事件に関与した資金が収集および引き出しされたアドレスに資金の一部を送金しました。​

その後、2021 年 5 月から 7 月にかけて、攻撃者は 1,100 万 USDT を Bixin の預金アドレスに送金しました。​

2023 年 2 月から 3 月にかけて、攻撃者は 0xcbf04b011eebc684d380db5f8e661685150e3a9e アドレスを通じて、Paxful の入金アドレスに 277 万 USDT を送金しました。

2023 年 4 月から 6 月にかけて、攻撃者は 0xcbf04b011eebc684d380db5f8e661685150e3a9e アドレスを通じて Noones の預金アドレスに 840 万 USDT を送金しました。

Steadefi と CoinShift ハック

Beosin KYT: 盗難資金のフローチャート

Steadefi インシデント攻撃アドレス

0x9cf71f2ff126b9743319b60d2d873f0e508810dc 

Coinshiftインシデントの攻撃アドレス

0x979ec2af1aa190143d294b0bfc7ec35d169d845c 

2023年8月、Steadefi事件で盗まれた624ETHがTornado Cashに移管されました。同月、Coinshift事件で盗まれた900ETHがTornado Cashに移管されました。

ETH を Tornado Cash に送金した後、すぐに次のアドレスに資金を引き出してください。

0x9f8941cd7229aa3047f05a7ee25c7ce13cbb8c41

0x4e75c46c299ddc74bac808a34a778c863bb59a4e

0xc884cf2fb3420420ed1f3578eaecbde53468f32e

2023 年 10 月 12 日、上記 3 つのアドレスから Tornado Cash から引き出された資金は、0x5d65aeb2bd903bee822b7069c1c52de838f11bf8 アドレスに送信されました。​

2023 年 11 月に、0x5d65ae アドレスから資金の送金が開始され、最終的には転送と交換を通じて Paxful 入金アドレスと Noones 入金アドレスに資金が送金されました。

イベント概要

上記は、過去数年間の北朝鮮ハッカー Lazarus Group の動向を紹介し、そのマネーロンダリング手法を分析および要約しています。Lazarus Group は暗号化資産を盗んだ後、基本的にそれらをチェーン間で行き来させ、その後 Tornado などの通貨ミキサーに転送します。現金。資金を混乱させる方法。難読化後、Lazarus Group は盗まれた資産をターゲットアドレスに引き出し、引き出し操作のために固定アドレスグループに送信しました。以前に盗まれた暗号資産は基本的にPaxfulの入金アドレスとNoonesの入金アドレスに入金され、OTCサービスを通じて暗号資産は法定通貨と交換されていました。

Lazarus Group による継続的かつ大規模な攻撃により、Web3 業界はさらなるセキュリティ上の課題に直面しています。 Beosinは引き続きこのハッカーグループに注目しており、プロジェクト関係者、規制当局、法執行機関がこのような犯罪と闘い、盗まれた資産を回収できるよう、その動向とマネーロンダリング手法をさらに追跡していきます。

Beosin は、正式な検証に取り組んだ世界初の Web3 セキュリティ企業の 1 つであり、「セキュリティ + コンプライアンス」の完全なエコロジー ビジネスに焦点を当てており、コード セキュリティをカバーするビジネスを世界 10 以上の国と地域に設立しています。プロジェクトがオンラインになる前の「ワンストップ」ブロックチェーン コンプライアンス製品と、ランタイム セキュリティ リスクの監視とブロック、盗難の回復、仮想資産のマネーロンダリング対策 (AML)、現地の規制に準拠したコンプライアンス評価などのセキュリティ サービス。要件。