作者:Beosin
此前,路透社獲得的一份聯合國機密報告顯示,朝鮮黑客團伙Lazarus Group去年從一家加密貨幣交易所竊取資金後,今年 3 月份通過虛擬貨幣平臺 Tornado Cash 洗錢 1.475 億美元。
監察員在之前提交的一份文件中告訴聯合國安理會制裁委員會,他們一直在調查 2017 年至 2024 年間發生的 97 起疑似朝鮮黑客針對加密貨幣公司的網絡攻擊,價值約 36 億美元。其中包括去年年底的一次攻擊,HTX 加密貨幣交易所的 1.475 億美元被盜,然後在今年3月完成洗錢。
美國於 2022 年對 Tornado Cash 實施制裁, 2023 年,其兩名聯合創始人被指控協助洗錢超過 10億美元,其中包括與朝鮮有關的網絡犯罪組織Lazarus Group。
根據加密貨幣偵探 ZachXBT 的調查,Lazarus Group在 2020年 8 月至 2023 年 10月期間將價值 2 億美元的加密貨幣洗錢爲法定貨幣。
在網絡安全領域,Lazarus Group長期以來一直被指控進行大規模的網絡攻擊和金融犯罪。他們的目標不僅僅限於特定行業或地區,而是遍佈全球,從銀行系統到加密貨幣交易所,從政府機構到私人企業。接下來,我們將重點分析幾個典型的攻擊案例,揭示Lazarus Group如何通過其複雜的策略和技術手段,成功實施了這些驚人的攻擊。
LazarusGroup操縱社會工程和網絡釣魚攻擊
這個案例來自於歐洲相關媒體報道,Lazarus 此前將歐洲和中東的軍事和航空航天公司作爲目標,在 LinkedIn 等平臺上發佈招聘廣告來欺騙員工,要求求職者下載部署了可執行文件的 PDF ,然後實施釣魚攻擊。
社會工程和網絡釣魚攻擊都試圖利用心理操縱來誘騙受害者放鬆警惕,並執行諸如點擊鏈接或下載文件之類的行爲,從而危及他們的安全。
他們的惡意軟件使特工能夠瞄準受害者系統中的漏洞並竊取敏感信息。
Lazarus 在針對加密貨幣支付提供商 CoinsPaid 的爲期六個月的行動中使用了類似的方法,導致CoinsPaid被盜 3700萬美元。
在整個活動過程中,它向工程師發送了虛假的工作機會,發起了分佈式拒絕服務等技術攻擊,以及提交許多可能的密碼進行暴力破解。
製造CoinBerry、Unibright等攻擊事件
2020年 8 月 24 日,加拿大加密貨幣交易所 CoinBerry 錢包被盜。
黑客地址:
0xA06957c9C8871ff248326A1DA552213AB26A11AE
2020年 9 月 11 日,Unbright 由於私鑰泄露,團隊控制的多個錢包中發生了 40萬美元的未經授權的轉賬。
黑客地址:
0x6C6357F30FCc3517c2E7876BC609e6d7d5b0Df43
2020年 10月 6 日,由於安全漏洞,CoinMetro熱錢包中未經授權轉移了價值 75 萬美元的加密資產。
黑客地址:
0x044bf69ae74fcd8d1fc11da28adbad82bbb42351
2021年初,各個攻擊事件的資金彙集到了以下地址:
0x0864b5ef4d8086cd0062306f39adea5da5bd2603。
2021年1月11日,0x0864b5地址在Tornado Cash存入了3000ETH,隨後再次通過0x1031ffaf5d00c6bc1ee0978eb7ec196b1d164129地址向Tornado Cash存入了1800多枚ETH。
隨後在1月11日至1月15日,陸續從Tornado Cash中提取了近4500枚ETH到0x05492cbc8fb228103744ecca0df62473b2858810地址。
到2023年,攻擊者經過多次轉移兌換,最終彙集到了其他安全事件資金歸集提現的地址,根據資金追蹤圖可以看到,攻擊者陸續將盜取的資金髮送至Noones deposit address以及Paxful deposit address。
NexusMutual創始人(HughKarp)遭黑客攻擊
2020年 12 月 14 日,Nexus Mutual 創始人 Hugh Karp 被盜37萬NXM(830萬美元)。
Beosin KYT:被盜資金流向圖
被盜資金在下面幾個地址之間轉移,並且兌換爲其他資金。
0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1
0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b
0x09923e35f19687a524bbca7d42b92b6748534f25
0x0784051d5136a5ccb47ddb3a15243890f5268482
0x0adab45946372c2be1b94eead4b385210a8ebf0b
Lazarus Group通過這幾個地址進行了資金混淆、分散、歸集等操作。例如,部分資金通過跨鏈到比特幣鏈上,再通過一系列轉移跨回以太坊鏈上,之後通過混幣平臺進行混幣,再將資金髮送至提現平臺。
2020年12月16日-12月20日,其中一個黑客地址0x078405將超2500ETH發送至Tornado Cash,幾個小時之後,根據特徵關聯,可以發現0x78a9903af04c8e887df5290c91917f71ae028137地址便開始了提款操作。
黑客通過轉移以及兌換,將部分資金轉移至上一個事件涉及的資金歸集提現的地址。
之後,2021年5月-7月,攻擊者將1100萬USDT轉入Bixin deposit address。
2023年2月-3月,攻擊者通過0xcbf04b011eebc684d380db5f8e661685150e3a9e地址,將277萬USDT發送到Paxful deposit address。
2023年4月-6月,攻擊者通過0xcbf04b011eebc684d380db5f8e661685150e3a9e地址,將840萬USDT發送到Noones deposit address。
Steadefi和CoinShift黑客攻擊
Steadefi事件攻擊地址
0x9cf71f2ff126b9743319b60d2d873f0e508810dc
Coinshift事件攻擊地址
0x979ec2af1aa190143d294b0bfc7ec35d169d845c
2023年8月,Steadefi事件的624枚被盜ETH被轉移到Tornado Cash,同一個月,Coinshift事件的900枚被盜ETH被轉移到Tornado Cash。
在轉移ETH到Tornado Cash之後,立即陸續將資金提取到下面地址:
0x9f8941cd7229aa3047f05a7ee25c7ce13cbb8c41
0x4e75c46c299ddc74bac808a34a778c863bb59a4e
0xc884cf2fb3420420ed1f3578eaecbde53468f32e
2023年10月12日,上述三個地址將從Tornado Cash提取的資金都發送到了0x5d65aeb2bd903bee822b7069c1c52de838f11bf8地址上。
2023年11月,0x5d65ae地址開始轉移資金,最終通過中轉和兌換,將資金髮送到了Paxful deposit address以及Noones deposit address。
事件總結
以上介紹了朝鮮黑客Lazarus Group過往幾年的動態,並對其洗錢的方式進行了分析與總結:Lazarus Group在盜取加密資產後,基本是通過來回跨鏈再轉入Tornado Cash等混幣器的方式進行資金混淆。在混淆之後,Lazarus Group將被盜資產提取到目標地址併發送到固定的一些地址羣進行提現操作。此前被盜的加密資產基本上都是存入Paxful deposit address以及Noones deposit address,然後通過OTC服務將加密資產換爲法幣。
在Lazarus Group連續、大規模的攻擊下,Web3行業面臨着較大的安全挑戰。Beosin持續關注該黑客團伙,將對其動態和洗錢方式進行進一步的追蹤,幫助項目方、監管與執法部門打擊此類犯罪,追回被盜資產。
