刨底 Lazarus Group 駭客組織

先前,路透社取得的聯合國機密報告顯示,北韓駭客集團 Lazarus Group 去年從加密貨幣交易所竊取資金後,今年 3 月透過虛擬貨幣平台 Tornado Cash 洗錢 1.475 億美元。

監察員在先前提交的一份文件中告訴聯合國安理會制裁委員會,他們一直在調查 2017 年至 2024 年間發生的 97 起疑似北韓駭客針對加密貨幣公司的網路攻擊,價值約 36 億美元。其中包括去年年底的攻擊,HTX 加密貨幣交易所的 1.475 億美元被盜,然後在今年 3 月完成洗錢。

美國於 2022 年對 Tornado Cash 實施制裁, 2023 年,其兩名聯合創始人被指控協助洗錢超過 10 億美元,其中包括與北韓有關的網路犯罪組織 Lazarus Group。

根據加密貨幣偵探 ZachXBT 的調查,Lazarus Group 在 2020 年 8 月至 2023 年 10 月期間將價值 2 億美元的加密貨幣洗錢為法定貨幣

在網路安全領域,Lazarus Group 長期以來一直被指控進行大規模的網路攻擊和金融犯罪。他們的目標不僅限於特定行業或地區,而是遍布全球,從銀行系統到加密貨幣交易所,從政府機構到私人企業。接下來,我們將重點分析幾個典型的攻擊案例,揭示 Lazarus Group 如何透過其複雜的策略和技術手段,成功實施了這些驚人的攻擊。

圖片

Lazarus Group 操縱社會工程和網路釣魚攻擊

這個案例來自歐洲相關媒體報道,Lazarus 先前將歐洲和中東的軍事和航空航太公司作為目標,在 LinkedIn 等平台上發布招聘廣告來欺騙員工,要求求職者下載部署了可執行文件的 PDF ,然後實施釣魚攻擊。

社會工程和網路釣魚攻擊都試圖利用心理操縱來誘騙受害者放鬆警惕,並執行諸如點擊連結或下載檔案之類的行為,從而危及他們的安全。

他們的惡意軟體使特工能夠瞄準受害者係統中的漏洞並竊取敏感資訊。

Lazarus 在針對加密貨幣支付提供商 CoinsPaid 的為期六個月的行動中使用了類似的方法,導致 CoinsPaid 被盜 3700 萬美元。

在整個活動過程中,它向工程師發送了虛假的工作機會,發起了分散式阻斷服務等技術攻擊,以及提交許多可能的密碼進行暴力破解。

製造 CoinBerry、Unibright 等攻擊事件

2020 年 8 月 24 日,加拿大加密貨幣交易所 CoinBerry 錢包被盜。

駭客地址:

0xA06957c9C8871ff248326A1DA552213AB26A11AE

2020 年 9 月 11 日,Unbright 由於私鑰洩露,團隊控制的多個錢包中發生了 40 萬美元的未經授權的轉帳。

駭客地址:

0x6C6357F30FCc3517c2E7876BC609e6d7d5b0Df43

2020 年 10 月 6 日,由於安全漏洞,CoinMetro 熱錢包中未經授權轉移了價值 75 萬美元的加密資產。

駭客地址:

0x044bf69ae74fcd8d1fc11da28adbad82bbb42351

Beosin KYT: 被竊資金流向圖

2021 年初,各個攻擊事件的資金匯集到了以下地址:

0x0864b5ef4d8086cd0062306f39adea5da5bd2603。

2021 年 1 月 11 日,0x0864b5 地址在 Tornado Cash 存入了 3000ETH,隨後再次透過 0x1031ffaf5d00c6bc1ee0978eb7ec196b1d164129 地址向 Torn Cash 存入了 18000ec196b1d164129 地址向 Torn Cash 存入了 18000 多枚地址。

隨後在 1 月 11 日至 1 月 15 日,陸續從 Tornado Cash 中提取了近 4500 枚 ETH 到 0x05492cbc8fb228103744ecca0df62473b2858810 地址。

到了 2023 年,攻擊者經過多次轉移兌換,最終匯集到了其他安全事件資金歸集提現的地址,根據資金追蹤圖可以看到,攻擊者陸續將盜取的資金發送至 Noones deposit address 以及 Paxful deposit address 。

Nexus Mutual 創辦人 (Hugh Karp) 遭駭客攻擊

2020 年 12 月 14 日,Nexus Mutual 創辦人 Hugh Karp 被偷走 37 萬 NXM(830 萬美元)。

圖片
Beosin KYT: 被竊資金流向圖

被盜資金在下面幾個地址之間轉移,並兌換為其他資金。

0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1 

0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b 

0x09923e35f19687a524bbca7d42b92b6748534f25 

0x0784051d5136a5ccb47ddb3a15243890f5268482 

0x0adab45946372c2be1b94eead4b385210a8ebf0b

Lazarus Group 透過這幾個地址進行了資金混淆、分散、歸集等操作。例如,部分資金透過跨鏈到比特幣鏈上,再透過一系列轉移跨回以太坊鏈上,之後透過混幣平台進行混幣,再將資金發送至提現平台

2020 年 12 月 16 日-12 月 20 日,其中一個黑客地址 0x078405 將超 2500ETH 發送至 Tornado Cash,幾個小時之後,根據特徵關聯,可以發現 0x78a9903af04c8e887df5290c91917f717121717120c9192171171717130c9192171171713130290c919217117131:

駭客透過轉移以及兌換,將部分資金轉移至上一個事件涉及的資金歸集提現的地址。

之後,2021 年 5 月-7 月,攻擊者將 1,100 萬 USDT 轉入 Bixin deposit address。

2023 年 2 月-3 月,攻擊者透過 0xcbf04b011eebc684d380db5f8e661685150e3a9e 位址,將 277 萬 USDT 送到 Paxful deposit address。

2023 年 4 月-6 月,攻擊者透過 0xcbf04b011eebc684d380db5f8e661685150e3a9e 位址,將 840 萬 USDT 送到 Noones deposit address。

Steadefi 和 CoinShift 駭客攻擊

Beosin KYT: 被竊資金流向圖

Steadefi 事件攻擊位址

0x9cf71f2ff126b9743319b60d2d873f0e508810dc

Coinshift 事件攻擊地址

0x979ec2af1aa190143d294b0bfc7ec35d169d845c

2023 年 8 月,Steadefi 事件的 624 枚被盜 ETH 被轉移到 Tornado Cash,同一個月,Coinshift 事件的 900 枚被盜 ETH 被轉移到 Tornado Cash。

在轉移 ETH 到 Tornado Cash 之後,立即陸續將資金提取到下面地址:

0x9f8941cd7229aa3047f05a7ee25c7ce13cbb8c41

0x4e75c46c299ddc74bac808a34a778c863bb59a4e

0xc884cf2fb3420420ed1f3578eaecbde53468f32e

2023 年 10 月 12 日,上述三個地址將從 Tornado Cash 提取的資金都發送到了 0x5d65aeb2bd903bee822b7069c1c52de838f11bf8 地址上。

2023 年 11 月,0x5d65ae 地址開始轉移資金,最終透過中轉和兌換,將資金發送到了 Paxful deposit address 以及 Noones deposit address。

事件總結

以上介紹了北韓駭客 Lazarus Group 過往幾年的動態,並對其洗錢的方式進行了分析與總結:Lazarus Group 在盜取加密資產後,基本上是透過來回跨鏈再轉入 Tornado Cash 等混幣器的方式進行資金混淆。在混淆之後,Lazarus Group 將被盜資產提取到目標地址並發送到固定的一些地址群進行提現操作。先前被盜的加密資產基本上都是存入 Paxful deposit address 以及 Noones deposit address,然後透過 OTC 服務將加密資產換成法幣。

在 Lazarus Group 連續、大規模的攻擊下,Web3 產業面臨較大的安全挑戰。Beosin 持續關注該駭客團夥,將對其動態和洗錢方式進行進一步的追踪,幫助專案方、監管與執法部門打擊此類犯罪,並追回被盜資產

免責聲明:作為區塊鏈資訊平台,本站所發布文章僅代表作者及來賓個人觀點,與 Web3Caff 立場無關。文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。