Relatório Análise de Interpretação de Hackers Norte-Coreanos, Grupos de Phishing e Ferramentas de Lavagem de Dinheiro

Grupo Lazarus

Atualizações em 2023

De acordo com informações públicas em 2023, a partir de junho, nenhum grande caso de roubo de criptomoedas foi atribuído ao grupo de hackers norte-coreano Lazarus Group. Com base nas atividades na cadeia, o Lazarus Group lavou principalmente os fundos de criptomoeda roubados a partir de 2022, incluindo os aproximadamente 100 milhões de dólares perdidos no ataque à ponte de cadeia cruzada Harmony em 23 de junho de 2022.

No entanto, fatos subsequentes mostraram que o Grupo Lazarus, além de lavar os fundos de criptomoeda roubados a partir de 2022, tem estado ativo no escuro, envolvendo-se em atividades de ataque relacionadas à APT. Estas atividades levaram diretamente aos “Dark 101 Days” na indústria das criptomoedas a partir de 3 de junho.

Durante os “Dark 101 Days”, um total de 5 plataformas foram pirateadas, com um montante total roubado superior a 300 milhões de dólares, visando principalmente plataformas de serviços centralizados.

Por volta do dia 12 de setembro, a SlowMist, juntamente com os seus parceiros, descobriu um ataque APT em grande escala dirigido à indústria das criptomoedas pelo grupo de hackers do Grupo Lazarus. O método de ataque é o seguinte: primeiro, eles se envolvem em engano de identidade usando a verificação em pessoa real para enganar o pessoal de verificação e se tornarem clientes genuínos. Em seguida, fazem depósitos reais. Com esta identidade de cliente como cobertura, implementam seletivamente cavalos de Troia Mac ou Windows personalizados para funcionários oficiais e clientes (invasores) durante a comunicação, obtendo permissões para se deslocar lateralmente dentro da rede interna. Ficam à espreita durante muito tempo para atingir o objetivo de roubar fundos.

O FBI dos EUA também está preocupado com os grandes roubos no ecossistema das criptomoedas e declarou publicamente num comunicado à imprensa que foi manipulado por hackers norte-coreanos Lazarus Group. O seguinte é um comunicado de imprensa relevante do FBI em 2023 sobre o hacker norte-coreano Lazarus Group:

• A 23 de janeiro, o FBI confirmou (https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft) Os hackers norte-coreanos Lazarus Group devem ser responsáveis pelo incidente do Harmony Hack.

• Em 22 de agosto, o FBI emitiu um aviso (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) afirmando que a organização hacker norte-coreana Hacks envolvendo Atomic Wallet, Alphapo e CoinsPAD roubou um total de 197 milhões de dólares em criptomoeda.

• Em 6 de setembro, o FBI emitiu um comunicado de imprensa (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) a confirmar que os hackers norte-coreanos Lazarus Group são responsáveis pelo roubo de 41 milhões de dólares da plataforma de jogos de criptomoeda Stake.com.

Análise dos métodos de branqueamento de capitais

De acordo com a nossa análise, os métodos de lavagem de dinheiro dos hackers norte-coreanos Lazarus Group também continuaram a evoluir ao longo do tempo. Novos métodos de lavagem de dinheiro aparecerão de vez em quando. O calendário para alterações nos métodos de branqueamento de capitais é o seguinte:

Análise de perfil de gangues

Com base no forte apoio relacionado com a inteligência dos parceiros da rede de inteligência InMist, a equipa SlowMist AML acompanhou e analisou os dados relacionados com estes incidentes roubados e com o grupo de hackers Lazarus Group, e depois obteve um retrato parcial do grupo de hackers Lazarus Group:

• Muitas vezes usam a identidade europeia ou turca como disfarce.
• Foram obtidas dezenas de informações IP, numerosas informações sobre endereços de e-mail e algumas informações de identidade insensibilizadas:
  • 111...49
  • 103...162
  • 103...205
  • 210...9
  • 103...29
  • 103...163
  • 154...10
  • 185...217

Escorredores de Carteira

Nota: Esta secção foi escrita por Sram Sniffer, pelo qual gostaria de expressar a minha gratidão.

Visão geral de rendimentos

Os Wallet Dreners, um tipo de malware relacionado com criptomoedas, alcançaram um “sucesso” notável no ano passado. Estes programas de software são implementados em sites de phishing para enganar os utilizadores para que assinem transações maliciosas, roubando assim ativos das suas carteiras de criptomoedas. Estas atividades de phishing visam continuamente utilizadores comuns de várias formas, levando a perdas financeiras significativas para muitos que assinam involuntariamente estas transações maliciosas.

Estatísticas de fundos roubados

Ao longo do ano passado, o SCAM Sniffer detetou os Drenadores de Carteira a roubarem quase 295 milhões de dólares de aproximadamente 324.000 vítimas.

Tendências

Notavelmente, em 11 de março, quase 7 milhões de dólares foram roubados, principalmente devido a flutuações na taxa de câmbio do USDC e sites de phishing que se passaram por Circle. Houve também um aumento significativo nos roubos por volta de 24 de março, coincidindo com o compromisso do Discord do Arbitum e eventos de airdrop subsequentes.

Cada pico de roubos está associado a eventos em toda a comunidade, que podem ser airdrops ou incidentes de hackers

Drenadores de carteira dignos de nota

Depois que o ZachXBT expôs o Monkey Drainer, anunciaram a sua saída depois de estarem ativos durante 6 meses. Venom então assumiu a maior parte da sua clientela. Posteriormente, MS, Inferno, Angel e Pink surgiram por volta de março. Com o Venom a cessar as operações por volta de abril, a maioria dos grupos de phishing passou a usar outros serviços. Com uma taxa de drenagem de 20%, eles fizeram pelo menos 47 milhões de dólares vendendo estes serviços.

Tendências de drenadores de carteira

A análise da tendência mostra que as atividades de phishing têm vindo a crescer de forma consistente. Além disso, cada vez que um Drainer sai, um novo o substitui, como o Angel emergindo como um substituto depois que o Inferno anunciou a sua saída.

Como iniciam atividades de phishing?

Estes sites de phishing adquirem principalmente tráfego através de vários métodos:

• Ataques de hackers:
  • Projecto oficial Discord e contas do Twitter a serem hackeadas
  • Ataques ao front-end de projetos oficiais ou às bibliotecas que utilizam
• Tráfego Orgânico
  • Airdropping NFTs ou Tokens
  • Explorar links expirados do Discord
  • Lembretes de spam e comentários no Twitter
• Tráfego pago
  • Pesquisa de anúncios do Google
  • Anúncios do Twitter

Embora os ataques de hackers tenham um grande impacto, a comunidade muitas vezes reage prontamente, normalmente dentro de 10-50 minutos. Em contraste, airdrops, tráfego orgânico, publicidade paga e exploração de links expirados do Discord são menos perceptíveis.

Assinaturas comuns de phishing

Diferentes tipos de ativos têm diferentes maneiras de iniciar assinaturas de phishing maliciosas. O acima exposto são alguns métodos comuns de assinatura de phishing para diferentes tipos de ativos. Os drenadores decidirão que tipo de assinatura de phishing maliciosa iniciar com base nos tipos de ativos que a carteira da vítima detém.

Por exemplo, a partir do caso de explorar o SignalTransfer da GMX para roubar tokens Reward LP, é evidente que as técnicas de phishing tornaram-se altamente sofisticadas e adaptadas para ativos específicos.

Aumentar o uso de contratos inteligentes

1) Multicall

Começando pelo Inferno, tem havido um maior foco na utilização de tecnologia de contrato. Por exemplo, nos casos em que a divisão das taxas de transação requer duas transações separadas, o processo pode não ser rápido o suficiente. Isto poderia permitir que a vítima revogue a autorização antes da segunda transferência. Para aumentar a eficiência, começaram a usar multicall para transferências de ativos mais eficazes.

2) CRIAR2 & CRIAR

Para contornar algumas verificações de segurança da carteira, também começaram a experimentar o create2 ou o create para gerar dinamicamente endereços temporários. Esta abordagem torna ineficazes as listas negras baseadas em carteiras e complica a investigação em atividades de phishing. Uma vez que não pode saber para onde os ativos serão transferidos sem assinar e os endereços temporários não oferecem muito valor analítico, isso representa um desafio significativo. Isto marca uma mudança substancial em comparação com o ano passado.

Site de phishing

A análise do número de sites de phishing revela um aumento mensal constante das atividades de phishing, intimamente ligado à disponibilidade de serviços estáveis de esgoto de carteiras.

Os domínios utilizados por estes sites de phishing são registados principalmente com registadores de domínio específicos. A análise dos endereços dos servidores mostra que a maioria usa a Cloudflare para ocultar as suas localizações reais de servidores.

Ferramentas de branqueamento de capitais

Sinbad

Sinbad é um misturador de Bitcoin estabelecido em 5 de outubro de 2022. Obscurece os detalhes da transação para ocultar o fluxo de fundos na cadeia de blocos.

O Departamento do Tesouro dos EUA descreve o Sinbad como um “misturador de moeda virtual, uma ferramenta primária de lavagem de dinheiro para o grupo de hackers norte-coreano Lazarus, designado pelo OFAC.” Sinbad lidou com fundos dos incidentes de hackers Horizon Bridge e Axie Infinity e também transferiu fundos relacionados a atividades como “evasão de sanções, tráfico de droga, compra de materiais relacionados com exploração sexual infantil e envolvimento em outras vendas ilegais no mercado da dark web.”

Os hackers Alphapo (Grupo Lazarus) usaram o Sinbad no seu processo de lavagem de dinheiro, como visto em transações como:

(https://oxt.me/transaction/2929e9d0055a431e1879b996d0d6f70aa607bb123d12bfad42e1f507d1d200a5)

Tornado Cash

(https://dune.com/misttrack/mixer-2023)

O Tornado Cash é um protocolo totalmente descentralizado e sem custódia que melhora a privacidade das transações ao quebrar o link na cadeia entre os endereços de origem e destino. Para proteger a privacidade, o Tornado Cash usa um contrato inteligente que aceita ETH e outros depósitos de token de um endereço e permite que eles se retirem para um endereço diferente, ou seja, enviar ETH e outros tokens para qualquer endereço de uma forma que oculta o endereço de envio.

Em 2023, os utilizadores depositaram um total de 342,042 ETH (aproximadamente 614 milhões de dólares) no Tornado Cash e retiraram um total de 314,740 ETH (aproximadamente 567 milhões de dólares) do Tornado Cash.

EXCH

(https://dune.com/misttrack/mixer-2023)

Em 2023, os utilizadores depositaram um total de 47,235 ETH (aproximadamente 90.14 milhões de dólares) no eXCh, e um total de 25,508.148 stablecoins ERC20 (aproximadamente 25,5 milhões de dólares) foram depositados na eXch.

Pistola ferroviária

A Railgun utiliza a tecnologia criptográfica ZK-SNARK para tornar as transações completamente invisíveis. O Railgun “protege” os tokens do utilizador no seu sistema de privacidade, de modo que cada transação parece ser enviada a partir do endereço do contrato da Railgun na cadeia de blocos.

No início de 2023, o FBI afirmou que o grupo de hackers norte-coreano Lazarus Group usou o Railgun para lavar mais de 60 milhões de dólares em fundos roubados da Harmony's Horizon Bridge.

Conclusão

Este artigo apresenta as atividades do grupo de hackers norte-coreano, Grupo Lazarus, no ano de 2023. A equipa de segurança do SlowMist tem monitorizado continuamente este grupo de hackers e resumiu e analisou a sua dinâmica e métodos de lavagem de dinheiro para criar um perfil do grupo. Em 2023, as gangues de pesca tornaram-se desenfreadas, causando enormes perdas financeiras à indústria de blockchain. Estas gangues operam de forma coordenada, apresentando um padrão de ataques de “retransmissão”. Os seus ataques contínuos e em grande escala representam desafios significativos para a segurança da indústria. Gostaríamos de expressar a nossa gratidão à plataforma antifraude Web3, Sram Sniffer, pela divulgação da gangue de phishing, Wallet Drainers. Acreditamos que esta informação é de grande importância para a compreensão dos seus métodos de trabalho e situação de lucro. Por último, também fornecemos uma introdução às ferramentas de lavagem de dinheiro comumente usadas por hackers.

Descarregue o relatório completo:

https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(EN).pdf

Isenção de responsabilidade：

1. Este artigo foi reimpresso da [SlowMist Technology]. Todos os direitos de autor pertencem ao autor original [equipa slow fogsecurity]. Se houver objeções a esta reimpressão, contacte a equipa do Gate Learn, e eles tratarão disso imediatamente.
2. Isenção de responsabilidade: As opiniões e opiniões expressas neste artigo são exclusivamente do autor e não constituem nenhum conselho de investimento.
3. As traduções do artigo para outras línguas são feitas pela equipa do Gate Learn. A menos que mencionado, é proibido copiar, distribuir ou plagiar os artigos traduzidos.