Аналіз інтерпретації звітів щодо північнокорейських хакерів, фішингових груп та інструментів для відмивання грошей

Лазарус Груп

Оновлення 2023 року

Згідно з відкритою інформацією за 2023 рік, станом на червень, північнокорейська хакерська група Lazarus Group не приписувала жодних великих випадків крадіжки криптовалюти. Базуючись на діяльності в ланцюзі, Lazarus Group в основному відмивала вкрадені криптовалютні кошти з 2022 року, включаючи приблизно 100 мільйонів доларів, втрачених під час атаки на міжланцюговий міст Harmony 23 червня 2022 року.

Однак подальші факти показали, що Lazarus Group, окрім відмивання вкрадених криптовалютних коштів з 2022 року, була активною в темряві, беручи участь у атаках, пов’язаних з APT. Ці дії безпосередньо призвели до «темних 101 днів» у індустрії криптовалют, починаючи з 3 червня.

Протягом «темних 101 днів» було зламано загалом 5 платформ із загальною сумою вкраденого понад 300 мільйонів доларів США, в основному спрямованих на централізовані сервісні платформи.

Приблизно 12 вересня SlowMist разом зі своїми партнерами виявили масштабну APT-атаку, спрямовану на криптовалютну індустрію з боку хакерської групи Lazarus Group. Метод атаки полягає в наступному: по-перше, вони беруть участь в обмані ідентифікаційних даних, використовуючи перевірку реальної особи, щоб ввести в оману перевіряючий персонал і стати справжніми клієнтами. Потім вони роблять фактичні депозити. Використовуючи цю особу клієнта як прикриття, вони вибірково розгортають користувальницькі трояни Mac або Windows для офіційного персоналу та клієнтів (зловмисників) під час спілкування, отримуючи дозволи на пересування всередині внутрішньої мережі. Вони довго підстерігають досягнення мети розкрадання коштів.

ФБР США також стурбоване великими крадіжками в екосистемі криптовалют і публічно заявило в прес-релізі, що нею маніпулювали північнокорейські хакери Lazarus Group. Нижче наведено відповідний прес-реліз ФБР у 2023 році щодо північнокорейської хакерської групи Lazarus Group:

• 23 січня ФБР підтвердило (https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft) Північнокорейські хакери Lazarus Group повинні відповідати за інцидент Harmony Hack.

• 22 серпня ФБР випустило повідомлення (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) заявивши, що північнокорейська хакерська організація Hacks за участю Atomic Wallet, Alphapo та CoinsPaid викрала криптовалюту на загальну суму 197 мільйонів доларів.

• 6 вересня ФБР випустило прес-реліз (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) підтверджуючи, що північнокорейські хакери Lazarus Group відповідальні за крадіжку 41 мільйона доларів із платформи для азартних ігор у криптовалюті Stake.com.

Аналіз методів відмивання грошей

Згідно з нашим аналізом, методи відмивання грошей північнокорейських хакерів Lazarus Group також продовжували розвиватися з часом. Час від часу з’являтимуться нові способи відмивання грошей. Розклад змін у методах відмивання грошей такий:

Аналіз профілю банди

Завдяки потужній розвідувальній підтримці з боку партнерів розвідувальної мережі InMist команда SlowMist AML відслідкувала та проаналізувала дані, пов’язані з цими викраденими інцидентами та хакерською групою Lazarus Group, а потім отримала частковий портрет хакерської групи Lazarus Group:

• Часто використовують європейську або турецьку ідентичність як маскування.
• Було отримано десятки IP-інформації, численні адреси електронної пошти та деяку десенсибілізовану ідентифікаційну інформацію:
  • 111...49
  • 103...162
  • 103...205
  • 210...9
  • 103...29
  • 103...163
  • 154...10
  • 185...217

Гаманці Drainers

Примітка: цей розділ був написаний Scam Sniffer, за що я хотів би висловити свою подяку.

Огляд

Wallet Drainers, тип шкідливого програмного забезпечення, пов’язаного з криптовалютою, досяг помітного «успіху» минулого року. Ці програмні програми розгортаються на фішингових веб-сайтах, щоб змусити користувачів підписувати зловмисні транзакції, таким чином викрадаючи активи з їхніх криптовалютних гаманців. Ця фішингова діяльність постійно націлена на звичайних користувачів у різних формах, що призводить до значних фінансових втрат для багатьох, хто мимоволі підписує ці зловмисні транзакції.

Статистика вкраденого фонду

За минулий рік Scam Sniffer виявив, що Wallet Drainers викрали майже 295 мільйонів доларів у приблизно 324 000 жертв.

Тренди

Примітно, що 11 березня було вкрадено майже 7 мільйонів доларів, головним чином через коливання курсу USDC і фішингові сайти, які видають себе за Circle. Приблизно 24 березня також спостерігався значний сплеск крадіжок, який збігся з компрометацією Arbitrum's Discord і подальшими подіями з аірдесантування.

Кожен пік крадіжок пов’язаний із подіями в масштабах спільноти, якими можуть бути аеродроми або випадки злому

Заслуговують на увагу ємності для гаманців

Після того, як ZachXBT викрив Monkey Drainer, вони оголосили про вихід після 6 місяців активності. Тоді Venom захопив більшість їхніх клієнтів. Згодом MS, Inferno, Angel і Pink з'явилися приблизно в березні. Після припинення діяльності Venom у квітні більшість фішингових груп перейшли на використання інших сервісів. З комісією Drainer 20% вони заробили щонайменше 47 мільйонів доларів, продаючи ці послуги.

Тренди Wallet Drainers

Аналіз тенденції показує, що фішингова активність стабільно зростає. Крім того, кожного разу, коли Drainer виходить, новий замінює його, наприклад, Angel, який з’являється на заміну після того, як Inferno оголосив про свій відхід.

Як вони ініціюють фішингові дії?

Ці фішингові веб-сайти в основному отримують трафік кількома методами:

• Хакерські атаки:
  • Акаунти офіційного проекту Discord і Twitter зламано
  • Атаки на зовнішню частину офіційних проектів або бібліотек, які вони використовують
• Органічний трафік
  • Airdropping NFT або токени
  • Використання прострочених посилань Discord
  • Спам-нагадування та коментарі в Twitter
• Платний трафік
  • Пошук оголошень Google
  • Оголошення в Twitter

Хоча хакерські атаки мають широкий вплив, спільнота часто реагує швидко, як правило, протягом 10-50 хвилин. Навпаки, airdrops, органічний трафік, платна реклама та використання прострочених посилань Discord менш помітні.

Поширені фішингові сигнатури

Різні типи активів мають різні способи ініціювання зловмисних фішингових сигнатур. Вище наведено деякі поширені методи фішингового підпису для різних типів активів. Зливники вирішуватимуть, який тип зловмисного фішингового підпису ініціювати, виходячи з типів активів, які зберігає гаманець жертви.

Наприклад, із випадку використання сигналу GMX для викрадення токенів Reward LP стає очевидним, що методи фішингу стали дуже складними та адаптованими для конкретних активів.

Розширення використання смарт-контрактів

1) Мультителефон

Починаючи з Inferno, було зосереджено увагу на використанні контрактної технології. Наприклад, у випадках, коли для розподілу комісії за транзакцію потрібні дві окремі транзакції, процес може бути недостатньо швидким. Це може дозволити жертві відкликати авторизацію перед другою передачею. Щоб підвищити ефективність, вони почали використовувати груповий виклик для ефективнішої передачі активів.

2）CREATE2 & CREATE

Щоб обійти деякі перевірки безпеки гаманця, вони також почали експериментувати з create2 або create для динамічного створення тимчасових адрес. Такий підхід робить чорні списки на основі гаманця неефективними та ускладнює дослідження фішингової діяльності. Оскільки ви не можете знати, куди будуть передані активи без підпису, а тимчасові адреси не пропонують великої аналітичної цінності, це становить значну проблему. Це є суттєвою зміною порівняно з минулим роком.

Фішинговий сайт

Аналіз кількості фішингових веб-сайтів показує постійне щомісячне зростання кількості фішингових дій, тісно пов’язане з доступністю стабільних служб гаманців.

Домени, які використовують ці фішингові веб-сайти, переважно зареєстровані в певних реєстраторів доменів. Аналіз адрес серверів показує, що більшість використовує Cloudflare, щоб приховати своє справжнє розташування серверів.

Інструменти відмивання грошей

Синдбад

Sinbad — це змішувач біткойнів, створений 5 жовтня 2022 року. Він приховує деталі транзакцій, щоб приховати потік коштів у блокчейні.

Міністерство фінансів США описує Sinbad як «міксер віртуальних валют, основний інструмент відмивання грошей для північнокорейської хакерської групи Lazarus, визначеної OFAC». Синдбад обробляв кошти від хакерських інцидентів Horizon Bridge і Axie Infinity, а також переказував кошти, пов’язані з такими діями, як «ухилення від санкцій, торгівля наркотиками, придбання матеріалів, пов’язаних із сексуальною експлуатацією дітей, і участь в інших незаконних продажах на ринку темної мережі. »

Хакери Alphapo (Lazarus Group) використовували Sinbad у своєму процесі відмивання грошей, як видно з таких транзакцій:

(https://oxt.me/transaction/2929e9d0055a431e1879b996d0d6f70aa607bb123d12bfad42e1f507d1d200a5)

Торнадо Кеш

(https://dune.com/misttrack/mixer-2023)

Tornado Cash — це повністю децентралізований протокол без зберігання, який покращує конфіденційність транзакцій шляхом розриву зв’язку в ланцюжку між адресами джерела та призначення. Для захисту конфіденційності Tornado Cash використовує смарт-контракт, який приймає депозити ETH та інших токенів з однієї адреси та дозволяє їх виводити на іншу адресу, тобто надсилати ETH та інші токени на будь-яку адресу таким чином, щоб приховати адресу відправника. .

У 2023 році користувачі внесли загалом 342 042 ETH (приблизно 614 мільйонів доларів) у Tornado Cash і зняли загалом 314 740 ETH (приблизно 567 мільйонів доларів) із Tornado Cash.

eXch

(https://dune.com/misttrack/mixer-2023)

У 2023 році користувачі внесли в eXch загалом 47 235 ETH (приблизно 90,14 мільйона доларів США), а в eXch – загалом 25 508 148 стейблкоїнів ERC20 (приблизно 25,5 мільйона доларів США).

Рельсотрон

Railgun використовує криптографічну технологію zk-SNARK, щоб зробити транзакції абсолютно невидимими. Railgun «захищає» токени користувача у своїй системі конфіденційності, так що кожна транзакція здається надісланою з адреси контракту Railgun у блокчейні.

На початку 2023 року ФБР заявило, що північнокорейська хакерська група Lazarus Group використовувала Railgun для відмивання понад 60 мільйонів доларів коштів, вкрадених з Harmony's Horizon Bridge.

Висновок

Ця стаття розповідає про діяльність північнокорейської хакерської групи Lazarus Group у 2023 році. Команда безпеки SlowMist постійно стежила за цією групою хакерів і узагальнила та проаналізувала їх динаміку та методи відмивання грошей, щоб створити профіль групи. У 2023 році рибальські угруповання почали лютувати, завдаючи величезних фінансових збитків індустрії блокчейнів. Ці банди діють злагоджено, демонструючи «естафетну» схему атак. Їх безперервні та масштабні атаки створюють значні проблеми для безпеки галузі. Ми хотіли б висловити подяку платформі боротьби з шахрайством Web3, Scam Sniffer, за розкриття фішингової групи Wallet Drainers. Ми вважаємо, що ця інформація має велике значення для розуміння їхніх методів роботи та ситуації з прибутком. Нарешті, ми також надаємо ознайомлення з інструментами відмивання грошей, якими зазвичай користуються хакери.

Завантажити повний звіт:

https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(EN).pdf

Відмова від відповідальності:

1. Цю статтю передруковано з [SlowMist Technology]. Усі авторські права належать оригінальному автору [команда slow fogsecurity]. Якщо є заперечення щодо цього передруку, будь ласка, зв’яжіться з командою Gate Learn , і вони негайно розглянуть це.
2. Відмова від відповідальності: погляди та думки, висловлені в цій статті, належать виключно автору та не є жодною інвестиційною порадою.
3. Переклади статті на інші мови виконує команда Gate Learn. Якщо не зазначено вище, копіювання, розповсюдження або плагіат перекладених статей заборонено.