Lazarus Group

2023 年動態

根據2023 年的公開消息，截止到6 月份，仍然沒有任何重大加密貨幣盜竊案被歸類為北韓駭客Lazarus Group。從鏈上活動來看，北韓駭客Lazarus Group 主要在清洗2022 年盜竊的加密貨幣資金，其中包括2022 年6 月23 日Harmony 跨鏈橋遭受攻擊損失的約1 億美元的資金。

後續的事實卻表明，北韓駭客Lazarus Group 除了在清洗2022 年盜竊的加密貨幣資金以外，其他的時間也沒有閒著，這個駭客團夥在黑暗中蟄伏著，暗中地進行APT 相關的攻擊活動。這些活動直接導致了從6 月3 日開始的加密貨幣行業的「黑暗101 日」。

在「黑暗101 日」 期間，共計有5 個平台被盜，被盜金額超3 億美元，其中被盜物件多為中心化服務平台。

9 月12 日左右，慢霧聯合合作夥伴發現駭客團體Lazarus Group 定向對加密貨幣產業進行的大規模APT 攻擊活動。攻擊手法如下：首先是進行身分偽裝，透過實人認證騙過審核人員並成為真實客戶，而後真實入金存款。在此客戶身分掩護下，在之後多個官方人員和客戶（攻擊者）溝通時間點上針對性地對官方人員精準投放Mac 或Windows 定制木馬，獲得權限後進行內網橫向移動，長久潛伏從而達到盜取資金的目的。

美國FBI 同樣關注加密貨幣生態的重大竊盜案，並在新聞稿中公開說明由北韓駭客Lazarus Group 操縱的事件。以下是FBI 於2023 年發布的關於北韓駭客Lazarus Group 的相關新聞稿：

• 1 月23 日，FBI 確認(https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizo​​n-bridge-currency-theft)北韓駭客Lazarus Group 應該對Harmony Hack 事件負責。

• 8 月22 日，美國聯邦調查局(FBI) 發布通告(https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) 稱，北韓駭客組織涉及Atomic Wallet、 Alphapo 和CoinsPaid 的駭客攻擊，共竊取1.97 億美元的加密貨幣。

• 9 月6 日，美國聯邦調查局(FBI) 發布新聞稿(https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk)，確認北韓駭客Lazarus Group 應對Stake.com 加密貨幣賭博平台被盜4,100 萬美元事件負責。

洗錢方式分析

根據我們的分析，北韓駭客Lazarus Group 的洗錢方式也隨著時間在不斷進化，隔一段時間就會有新型的洗錢方式出現，洗錢方式變化的時間表如下表：

團體畫像分析

基於InMist 情報網絡合作夥伴的大力情報相關支持，慢霧AML 團隊對這些被盜事件與黑客團夥Lazarus Group 相關的數據進行跟進分析，進而得出黑客團夥Lazarus Group 的部分畫像：

• 常使用歐洲人、土耳其人的身分作為偽裝。

• 已經掌握到的數十個IP 資訊、十數個郵箱資訊及部分脫敏後身分資訊：

• 111.*.*.49

• 103.*.*.162

• 103.*.*.205

• 210.*.*.9

• 103.*.*.29

• 103.*.*.163

• 154.*.*.10

• 185.*.*.217

Wallet Drainers

註：本小節由Scam Sniffer 傾情撰寫，在此表示感謝。

概覽

Wallet Drainers 作為一種加密貨幣相關的惡意軟體，在過去的一年裡取得了顯著的”成功”。這些軟體被部署在釣魚網站上，騙取用戶簽署惡意交易，進而盜取其加密貨幣錢包中的資產。這些釣魚活動以多種形式不斷攻擊普通用戶，導致許多人在無意識地簽署惡意交易後遭受了重大財產損失。

被盜統計

在過去一年，Scam Sniffer 監控到Wallet Drainers 已經從大約32 萬受害者中盜取了將近2.95 億美金的資產。

被竊趨勢

值得一提的是，3 月11 號這一天有接近700 萬美金被偷走。大部分是因為USDC 匯率波動，遭遇了假Circle 的釣魚網站。也有大量的被盜接近3 月24 號Arbitrum 的Discord 被駭以及後續的空投。

每次波峰都伴隨著關聯群體性事件。可能是空投，也可能是駭客事件。

值得注意的Wallet Drainers

隨著ZachXBT 揭露Monkey Drainer 後，他們在活躍了6 個月後宣布退出，然後Venom 接替了他們的大部分客戶。隨後MS, Inferno, Angel, Pink 也都在3 月左右出現。隨著Venom 在4 月左右停止服務，大部分的釣魚團夥轉向了使用其他的服務。依照20% 的Drainer 費用，他們透過出售服務獲利至少4,700 萬美金。

Wallet Drainers 趨勢

透過分析趨勢可以發現，釣魚活動相對來講一直在持續成長。而且在每個Drainer 退出後都會有新的Drainer 取代他們，例如近期在Inferno 宣布退出後，Angel 似乎成為了新的替代品。

他們是如何發起釣魚活動的？

釣魚網站取得流量的方式可以大致主要分為幾類：

• 駭客攻擊

• 官方專案Discord 和Twitter 被駭

• 官方專案前端或使用的函式庫被攻擊

• 自然流量

• 空投NFT 或Token

• Discord 連結失效被佔用

• Twitter 垃圾提醒和評論

• 付費流量

• Google 搜尋廣告

• Twitter 廣告

駭客攻擊雖然影響面大，但往往反應夠及時，一般10-50 分鐘整個社區都有所行動。而空投、自然流量、付費廣告、以及Discord 連結失效被佔用，這些方式則更加不易引起察覺。除此之外，還有更針對性的對個人的私訊釣魚等。

常見的釣魚簽名

針對不同的資產類型也有不同的方式來發起惡意釣魚簽名，以上是一些對不同類資產常見的釣魚簽名方式。 Drainers 會根據受害者錢包所擁有的資產類型來決定發起什麼樣的惡意釣魚簽名。

從利用GMX 的signalTransfer 盜取Reward LP token 的案例中，我們可以發現他們對特定資產的釣魚利用方式已經到了很精細的研究。

更多的使用智能合約

1）Multicall

從Inferno 開始，他們也開始有更多的資源在使用合約技術上。例如Split 手續費需要分兩筆交易進行，而這有可能因為速度不夠快導致在第二筆轉帳的時候被受害者提前撤銷授權。因此，為了提高效率，他們便使用multilcall 來進行更有效率的資產轉移。

2）CREATE2 & CREATE

同樣為了繞過一些錢包的安全性驗證，他們也開始嘗試使用create2 或create 動態產生臨時位址。這將導致錢包端的黑名單失去作用，也增加了釣魚研究的難度。因為你不簽名就不知道資產會被轉移到什麼地址，而臨時地址不具備分析意義。這比起去年來說是很大的改變。

釣魚網站

透過分析釣魚網站的數量趨勢，可以明顯看到釣魚活動每個月都在逐步增長，這跟穩定的wallet drainer 服務有很大關係。

以上是這些釣魚網站的主要使用的網域註冊商。透過分析伺服器位址可以發現，他們大都使用了Cloudflare 來隱藏真實的伺服器位址。

洗錢工具

Sinbad

Sinbad 是一個成立於2022 年10 月5 日的比特幣混合器，它會模糊交易細節以隱藏鏈上的資金流動。

美國財政部將Sinbad 描述為「虛擬貨幣混合器，是OFAC 指定的北韓駭客組織Lazarus 集團的主要洗錢工具」。 Sinbad 處理了來自Horizo​​n Bridge 和Axie Infinity 駭客攻擊的資金，也轉移了與「逃避制裁、販毒、購買兒童性虐待材料以及在暗網市場上進行其他非法銷售」相關的資金。

Alphapo 駭客(Lazarus Group) 曾在洗錢過程中使用Sinbad，如交易：

(https://oxt.me/transaction/2929e9d0055a431e1879b996d0d6f70aa607bb123d12bfad42e1f507d1d200a5)

Tornado Cash

(https://dune.com/misttrack/mixer-2023)

Tornado Cash 是一種完全去中心化的非託管協議，透過打破來源位址和目標位址之間的鏈上連結來提高交易隱私。為了保護隱私，Tornado Cash 使用智慧合約，接受來自一個地址的ETH 和其他代幣存款，並允許他們提款到不同的地址，即以隱藏發送地址的方式將ETH 和其他代幣發送到任何地址。

2023 年用戶共存入342,042 ETH（約6.14 億美元）至Tornado Cash，共存入Tornado Cash 提領314,740 ETH（約5.67 億美元）。

eXch

(https://dune.com/misttrack/mixer-2023)

2023 年用戶共存入47,235 ETH（約9,014 萬美元）到eXch，共存入25,508,148 ERC20 穩定幣（約2,550 萬美元）到eXch。

Railgun

Railgun 利用zk-SNARKs 密碼學技術使交易完全不可見。 Railgun 透過在其隱私系統內「shielding」用戶的代幣，使得每筆交易在區塊鏈上都顯示為從Railgun 合約地址發送。

2023 年初，美國聯邦調查局表示，北韓駭客集團Lazarus Group 用Railgun 來清洗從Har​​mony 的Horizo​​n Bridge 竊取的超過6,000 萬美元的資金。

總結

本篇文章介紹了北韓駭客Lazarus Group 23 年的動態，慢霧安全團隊持續關注該駭客團夥，並對其動態和洗錢方式進行了總結分析，輸出團夥畫像。 23 年釣魚團夥猖獗，給區塊鏈行業造成了巨額資金損失，且這類團伙的行動呈現“接力”的特徵，其持續、大規模的攻擊使得行業的安全面臨較大的挑戰，在此感謝Web3 反詐騙平台Scam Sniffer 貢獻了關於釣魚團夥Wallet Drainers 的披露，我們相信這部分內容對於了解其工作方式和獲利情況具有重要的參考意義。最後，我們也對駭客常用的洗錢工具進行了介紹。

完整報告下載：

https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(CN).pdf