加強對網絡安全知識的了解,強化甄別網絡釣魚攻擊的能力。

作者:山&耀

背景

9 月 2 日,慢霧安全團隊發現疑似 APT 團伙針對加密生態的 NFT 用戶進行大規模釣魚活動,並發布了《“零元購” NFT 釣魚分析》

9 月 4 日,推特用戶 Phantom X 發推稱朝鮮 APT 組織針對數十個 ETH 和 SOL 項目進行大規模的網絡釣魚活動。

圖片
(https://twitter.com/PhantomXSec/status/1566219671057371136)

該推特用戶給出了 196 個釣魚域名信息,分析後關聯到朝鮮黑客相關信息,具體的域名列表如下:

(https://pastebin.com/UV9pJN2M)

慢霧安全團隊注意到該事件並第一時間跟進深入分析:

(https://twitter.com/IM_23pds/status/1566258373284093952)

由於朝鮮黑客針對加密貨幣行業的攻擊模型多樣化,我們披露的也只是冰山一角,因為一些保密的要求,本篇文章也僅針對其中一部分釣魚素材包括相關釣魚錢包地址進行分析。這裡將重點針對 NFT 釣魚進行分析。

釣魚網站分析

經過深入分析,發現此次釣魚的其中一種方式是發布虛假 NFT 相關的、帶有惡意 Mint 的誘餌網站,這些 NFT 在 OpenSea、X2Y2 和 Rarible 等平台上都有出售。此次 APT 組織針對 Crypto 和 NFT 用戶的釣魚涉及將近 500 多個域名。

查詢這些域名的註冊相關信息,發現註冊日期最早可追溯到 7 個月前:

圖片

同時我們也發現朝鮮黑客常使用的一些獨有的釣魚特徵:

特徵一:釣魚網站都會記錄訪客數據並保存到外部站點。黑客通過 HTTP GET 請求將站點訪問者信息記錄到外部域,發送請求的域名雖不同但是請求的 API 接口都為 “/postAddr.php”。一般格式為 “https://nserva.live/postAddr.php?mmAddr=…[Metamask]…&accessTime=xxx&url=evil.site”,其中參數 mmAddr 記錄訪客的錢包地址,accessTime 記錄訪客的訪問時間,url 記錄訪客當前所訪問的釣魚網站鏈接。

特徵二:釣魚網站會請求一個 NFT 項目價目表,通常 HTTP 的請求路徑為 “getPriceData.php”:

圖片

特徵三:存在一個鏈接圖像到目標項目的文件 “imgSrc.js”,包含目標站點列表和在其相應網絡釣魚站點上使用的圖像文件的託管位置,這個文件可能是釣魚網站模板的一部分。

圖片

進一步分析發現 APT 用於監控用戶請求的主要域名為 “thedoodles.site”,此域名在 APT 活動早期主要用來記錄用戶數據:

查詢該域名的 HTTPS 證書啟用時間是在 7 個月之前,黑客組織已經開始實施對 NFT 用戶對攻擊。

最後來看下黑客到底運行和部署了多少個釣魚站點:

比如最新的站點偽裝成世界杯主題:

繼續根據相關的 HTTPS 證書搜索得到相關的網站主機信息:

在一些主機地址中發現了黑客使用的各種攻擊腳本和統計受害者信息的 txt 文件。

圖片

這些文件記錄了受害者訪問記錄、授權情況、使用插件錢包的情況:

圖片

可以發現這些信息跟釣魚站點採集的訪客數據相吻合。

其中還包括受害者 approve 記錄:

以及簽名數據 sigData 等,由於比較敏感此處不進行展示。

另外,統計發現主機相同 IP 下 NFT 釣魚站群,單獨一個 IP 下就有 372 個 NFT 釣魚站點:

另一個 IP 下也有 320 個 NFT 釣魚站群:

甚至包括朝鮮黑客在經營的一個 DeFi 平台:

由於篇幅有限,此處不再贅述。

釣魚手法分析

結合之前《NFT 零元購釣魚》文章,我們對此次釣魚事件的核心代碼進行了分析。我們發現黑客釣魚涉及到 WETH、USDC、DAI、UNI 等多個地址協議。

圖片

下面代碼用於誘導受害者進行授權 NFT、ERC20 等較常見的釣魚 Approve 操作:

圖片
圖片

除此之外,黑客還會誘導受害者進行 Seaport、Permit 等簽名。

下面是這種簽名的正常樣例,只是在釣魚網站中不是 “opensea.io” 這個域名。

我們在黑客留下的主機也發現了這些留存的簽名數據和 “Seaport” 的簽名數據特徵一致。

由於這類型的簽名請求數據可以 “離線存儲”,黑客在拿到大量的受害者簽名數據後批量化的上鍊轉移資產。

MistTrack 分析

對釣魚網站及手法分析後,我們選取其中一個釣魚地址(0xC0fd…e0ca)進行分析。

可以看到這個地址已被 MistTrack 標記為高風險釣魚地址,交易數也還挺多。釣魚者共收到 1055 個 NFT,售出後獲利近 300 ETH。

圖片

往上溯源,該地址的初始資金來源於地址(0x2e0a…DA82)轉入的 4.97 ETH。往下溯源,則發現該地址有與其他被 MistTrack 標記為風險的地址有交互,以及有 5.7 ETH 轉入了 FixedFloat。

圖片

再來分析下初始資金來源地址(0x2e0a…DA82),目前收到約 6.5 ETH。初始資金來源於 Binance 轉入的 1.433 ETH。

同時,該地址也是與多個風險地址進行交互。

圖片

總結

由於保密性和隱私性,本文僅針對其中一部分 NFT 釣魚素材進行分析,並提煉出朝鮮黑客的部分釣魚特徵,當然,這只是冰山一角。慢霧在此建議,用戶需加強對安全知識的了解,進一步強化甄別網絡釣魚攻擊的能力等,避免遭遇此類攻擊。更多的安全知識建議閱讀慢霧出品的《區塊鏈黑暗森林自救手冊》:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md

Ps. 感謝 hip 、ScamSniffer 提供的支持。

相關鏈接:

https://www.prevailion.com/what-wicked-webs-we-unweave/embed/#?secret=QUqSYrZHtO#?secret=RpYjnV8wu7

https://twitter.com/PhantomXSec/status/1566219671057371136

https://twitter.com/evilcos/status/1603969894965317632

其他釣魚方式,推薦閱讀:

慢霧:空白支票 eth_sign 釣魚分析

慢霧:警惕 TransferFrom 零轉賬騙局

慢霧:警惕相同尾號空投騙局

免責聲明:作為區塊鏈信息平台,本站所發布文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。文章內的信息僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。