撰文:慢霧安全團隊
上一篇我們主要解讀了2023 區塊鏈安全態勢,本篇主要聚焦於朝鮮黑客 Lazarus Group、主要釣魚團伙及部分洗錢工具在 2023 年的動態。
Lazarus Group
2023 年動態
根據 2023 年的公開信息,截止到 6 月份,仍然沒有任何重大加密貨幣盜竊案被歸因為朝鮮黑客 Lazarus Group。從鏈上活動來看,朝鮮黑客 Lazarus Group 主要在清洗 2022 年盜竊的加密貨幣資金,其中包括 2022 年 6 月 23 日 Harmony 跨鏈橋遭受攻擊損失的約 1 億美元的資金。
後續的事實卻表明,朝鮮黑客 Lazarus Group 除了在清洗 2022 年盜竊的加密貨幣資金以外,其他的時間也沒有閒著,這個黑客團伙在黑暗中蟄伏著,暗中地進行 APT 相關的攻擊活動。這些活動直接導致了從 6 月 3 日開始的加密貨幣行業的「黑暗 101 日」。
在「黑暗 101 日」期間,共計有 5 個平臺被盜,被盜金額超 3 億美元,其中被盜對象多為中心化服務平臺。
9 月 12 日左右,慢霧聯合合作伙伴發現黑客團伙 Lazarus Group 定向對加密貨幣行業進行的大規模 APT 攻擊活動。攻擊手法如下:首先是進行身份偽裝,通過實人認證騙過審核人員併成為真實客戶,而後真實入金存款。在此客戶身份掩護下,在之後多個官方人員和客戶(攻擊者)溝通時間點上針對性地對官方人員精準投放 Mac 或 Windows 定製木馬,獲得權限後進行內網橫向移動,長久潛伏從而達到盜取資金的目的。
美國 FBI 同樣關注著加密貨幣生態的重大盜竊案,並在新聞稿中公開說明由朝鮮黑客 Lazarus Group 操縱的事件。以下是 FBI 於 2023 年發佈的關於朝鮮黑客 Lazarus Group 的相關新聞稿:
1 月 23 日,FBI 確認 (https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft) 朝鮮黑客 Lazarus Group 應該對 Harmony Hack 事件負責。
8 月 22 日,美國聯邦調查局 (FBI) 發佈通告 (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) 稱,朝鮮黑客組織涉及 Atomic Wallet、 Alphapo 和 CoinsPaid 的黑客攻擊,共竊取 1.97 億美元的加密貨幣。
9 月 6 日,美國聯邦調查局 (FBI) 發佈新聞稿 (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk),確認朝鮮黑客 Lazarus Group 應對 Stake.com 加密貨幣賭博平臺被盜 4100 萬美元事件負責。
洗錢方式分析
根據我們的分析,朝鮮黑客 Lazarus Group 的洗錢方式也隨著時間在不斷進化,隔一段時間就會有新型的洗錢方式出現,洗錢方式變化的時間表如下表:
團伙畫像分析
基於 InMist 情報網絡合作夥伴的大力情報相關支持,慢霧 AML 團隊對這些被盜事件與黑客團伙 Lazarus Group 相關的數據進行跟進分析,進而得出黑客團伙 Lazarus Group 的部分畫像:
常使用歐洲人、土耳其人的身份作為偽裝。
已經掌握到的數十個 IP 信息、十數個郵箱信息及部分脫敏後身份信息:
111.*.*.49
103.*.*.162
103.*.*.205
210.*.*.9
103.*.*.29
103.*.*.163
154.*.*.10
185.*.*.217
Wallet Drainers
注:本小節由 Scam Sniffer 傾情撰寫,在此表示感謝。
概覽
Wallet Drainers 作為一種加密貨幣相關的惡意軟件,在過去的一年裡取得了顯著的「成功」。這些軟件被部署在釣魚網站上,騙取用戶簽署惡意交易,進而盜取其加密貨幣錢包中的資產。這些釣魚活動以多種形式不斷地攻擊普通用戶,導致許多人在無意識地簽署惡意交易後遭受了重大財產損失。
被盜統計
在過去一年,Scam Sniffer 監控到 Wallet Drainers 已經從大約 32 萬受害者中盜取了將近 2.95 億美金的資產。
被盜趨勢
值得一提的是,3 月 11 號這一天有接近 700 萬美金被盜。大部分是因為 USDC 匯率波動,遭遇了假冒 Circle 的釣魚網站。也有大量的被盜臨近 3 月 24 號 Arbitrum 的 Discord 被黑以及後續的空投。
每次波峰都伴隨著關聯群體性事件。可能是空投,也可能是黑客事件。
值得注意的 Wallet Drainers
隨著 ZachXBT 揭露 Monkey Drainer 後,他們在活躍了 6 個月後宣佈退出,然後 Venom 接替了他們的大部分客戶。隨後 MS, Inferno, Angel, Pink 也都在 3 月份左右出現。隨著 Venom 在 4 月份左右停止服務,大部分的釣魚團伙轉向了使用其他的服務。按照 20% 的 Drainer 費用,他們通過出售服務獲利至少 4700 萬美金。
Wallet Drainers 趨勢
通過分析趨勢可以發現,釣魚活動相對來講一直在持續增長。而且在每一個 Drainer 退出後都會有新的 Drainer 替代他們,比如近期在 Inferno 宣佈退出後,Angel 似乎成為了新的替代品。
他們是如何發起釣魚活動的?
釣魚網站獲取流量的方式可以大致主要分為幾類:
黑客攻擊
官方項目 Discord 和 Twitter 被黑
官方項目前端或使用的庫被攻擊
自然流量
空投 NFT 或 Token
Discord 鏈接失效被佔用
Twitter 垃圾提醒和評論
付費流量
Google 搜索廣告
Twitter 廣告
黑客攻擊雖然影響面大,但往往反應足夠及時,一般 10-50 分鐘整個社區都有所行動。而空投、自然流量、付費廣告、以及 Discord 鏈接失效被佔用,這些方式則更加不易引起察覺。除此之外,還有更加針對性的對個人的私信釣魚等。
常見的釣魚簽名
針對不同的資產類型也有著不同的方式來發起惡意釣魚簽名,以上是一些對不同類資產常見的釣魚簽名方式。Drainers 會根據受害者錢包所擁有的資產類型來決定發起什麼樣的惡意釣魚簽名。
從利用 GMX 的 signalTransfer 盜取 Reward LP token 的案例中,我們可以發現他們對特定資產的釣魚利用方式已經到了很精細化的研究。
更多的使用智能合約
1)Multicall
從 Inferno 開始,他們也開始更多的資源在使用合約技術上。比如 Split 手續費需要分兩筆交易進行,而這有可能因速度不夠快導致在第二筆轉賬的時候被受害者提前撤銷授權。因此,為了提高效率,他們便使用 multilcall 來進行更高效的資產轉移。
2)CREATE2 & CREATE
同樣為了繞過一些錢包的安全驗證,他們也開始嘗試使用 create2 或 create 動態生成臨時地址。這將導致錢包端的黑名單失去作用,還增加了釣魚研究的難度。因為你不簽名就不知道資產會被轉移到什麼地址,而臨時地址不具備分析意義。這比起去年來說是很大的變化。
釣魚網站
通過分析釣魚網站的數量趨勢,可以明顯看到釣魚活動每個月都在逐步增長,這跟穩定的 wallet drainer 服務有很大關係。
以上是這些釣魚網站的主要使用的域名註冊商。通過分析服務器地址可以發現,他們大都使用了 Cloudflare 來隱藏真實的服務器地址。
洗錢工具
Sinbad
Sinbad 是一個成立於 2022 年 10 月 5 日的比特幣混合器,它會模糊交易細節以隱藏鏈上的資金流動。
美國財政部將 Sinbad 描述為「虛擬貨幣混合器,是 OFAC 指定的朝鮮黑客組織 Lazarus 集團的主要洗錢工具」。Sinbad 處理了來自 Horizon Bridge 和 Axie Infinity 黑客攻擊的資金,還轉移了與「逃避制裁、販毒、購買兒童性虐待材料以及在暗網市場上進行其他非法銷售」相關的資金。
Alphapo 黑客 (Lazarus Group) 曾在洗錢過程中使用 Sinbad,如交易:
(https://oxt.me/transaction/2929e9d0055a431e1879b996d0d6f70aa607bb123d12bfad42e1f507d1d200a5)
Tornado Cash
(https://dune.com/misttrack/mixer-2023)
Tornado Cash 是一種完全去中心化的非託管協議,通過打破源地址和目標地址之間的鏈上鍊接來提高交易隱私。為了保護隱私,Tornado Cash 使用一個智能合約,接受來自一個地址的 ETH 和其他代幣存款,並允許他們提款到不同的地址,即以隱藏發送地址的方式將 ETH 和其他代幣發送到任何地址。
2023 年用戶共計存入 342,042 ETH(約 6.14 億美元)到 Tornado Cash,共計從 Tornado Cash 提款 314,740 ETH(約 5.67 億美元)。
eXch
(https://dune.com/misttrack/mixer-2023)
2023 年用戶共計存入 47,235 ETH(約 9014 萬美元)到 eXch,共計存入 25,508,148 ERC20 穩定幣(約 2550 萬美元)到 eXch。
Railgun
Railgun 利用 zk-SNARKs 密碼學技術使交易完全不可見。Railgun 通過在其隱私系統內「shielding」用戶的代幣,使得每筆交易在區塊鏈上都顯示為從 Railgun 合約地址發送。
2023 年初,美國聯邦調查局表示,朝鮮黑客團伙 Lazarus Group 用 Railgun 來清洗從 Harmony 的 Horizon Bridge 竊取的超過 6000 萬美元的資金。
總結
本篇文章介紹了朝鮮黑客 Lazarus Group 23 年的動態,慢霧安全團隊持續關注該黑客團伙,並對其動態和洗錢方式進行了總結分析,輸出團伙畫像。23 年釣魚團伙猖獗,給區塊鏈行業造成了鉅額資金損失,且這類團伙的行動呈現「接力」的特徵,其持續、大規模的攻擊使得行業的安全面臨較大的挑戰,在此感謝 Web3 反詐騙平臺 Scam Sniffer 貢獻了關於釣魚團伙 Wallet Drainers 的披露,我們相信這部分內容對於瞭解其工作方式和獲利情況具有重要的參考意義。最後,我們還對黑客常用的洗錢工具進行了介紹。
