Анализ интерпретации отчетов о северокорейских хакерах, фишинговых группах и средствах отмывания денег

Lazarus Group

Обновления в 2023 году

Согласно публичной информации 2023 года, по состоянию на июнь ни одного крупного случая кражи криптовалюты не было приписано северокорейской хакерской группе Lazarus Group. Основываясь на деятельности на цепочке, Lazarus Group в основном отмывала украденные криптовалютные средства с 2022 года, включая примерно 100 миллионов долларов, потерянных в результате атаки на межцепочечный мост Harmony 23 июня 2022 года.

Однако последующие факты показали, что Lazarus Group, помимо отмывания украденных криптовалютных средств с 2022 года, вела активную деятельность в темноте, занимаясь атаками, связанными с APT. Эти действия непосредственно привели к "Темным 101 дням" в криптовалютной индустрии, начиная с 3 июня.

В течение "Темных 101 дня" было взломано в общей сложности 5 платформ, общая сумма похищенного превысила 300 миллионов долларов, в основном это были централизованные сервисные платформы.

Примерно 12 сентября компания SlowMist вместе со своими партнерами обнаружила масштабную APT-атаку, направленную на криптовалютную индустрию хакерской группой Lazarus Group. Метод атаки следующий: сначала они обманывают личность, используя проверку реальных лиц, чтобы обмануть персонал, проводящий проверку, и стать настоящими клиентами. Затем они делают реальные вклады. Используя эту идентификацию клиента в качестве прикрытия, они выборочно устанавливают пользовательские трояны для Mac или Windows на официальный персонал и клиентов (злоумышленников) во время общения, получая разрешения на перемещение по внутренней сети. Они затаиваются надолго, чтобы достичь цели - украсть средства.

ФБР США также обеспокоено крупными кражами в криптовалютной экосистеме и публично заявило в пресс-релизе, что ею манипулируют северокорейские хакеры Lazarus Group. Ниже приводится актуальный пресс-релиз ФБР от 2023 года, касающийся северокорейского хакера Lazarus Group:

• 23 января ФБР подтвердило(https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft). Северокорейские хакеры Lazarus Group должны нести ответственность за инцидент с Harmony Hack.

• 22 августа ФБР выпустило уведомление(https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk). утверждает, что северокорейская хакерская организация Hacks, в которую входят Atomic Wallet, Alphapo и CoinsPaid, похитила в общей сложности 197 миллионов долларов в криптовалюте.

• 6 сентября ФБР выпустило пресс-релиз(https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk). подтвердив, что северокорейские хакеры Lazarus Group несут ответственность за кражу 41 миллиона долларов с криптовалютной игорной платформы Stake.com.

Анализ методов отмывания денег

Согласно нашему анализу, методы отмывания денег северокорейских хакеров Lazarus Group также продолжали развиваться с течением времени. Время от времени появляются новые методы отмывания денег. График изменений в методах отмывания денег выглядит следующим образом:

Анализ профилирования банд

Опираясь на мощную поддержку партнеров разведывательной сети InMist, команда SlowMist AML проследила и проанализировала данные, связанные с этими инцидентами с кражей и хакерской группой Lazarus Group, а затем составила частичный портрет хакерской группы Lazarus Group:

• Часто используют европейскую или турецкую идентичность в качестве маскировки.
• Были получены десятки IP-адресов, информация о многочисленных адресах электронной почты и некоторые десенсибилизированные данные о личности:
  • 111...49
  • 103...162
  • 103...205
  • 210...9
  • 103...29
  • 103...163
  • 154...10
  • 185...217

Сливные устройства для кошелька

Примечание: Этот раздел был написан Scam Sniffer, за что я хотел бы выразить ему свою благодарность.

Обзор

Wallet Drainers, тип вредоносных программ, связанных с криптовалютой, достиг заметного "успеха" в прошлом году. Эти программы размещаются на фишинговых сайтах, чтобы обманом заставить пользователей подписать вредоносные транзакции и тем самым украсть средства из их криптовалютных кошельков. Эта фишинговая деятельность постоянно нацелена на обычных пользователей в различных формах, что приводит к значительным финансовым потерям для многих, кто невольно подписывает эти вредоносные транзакции.

Статистика украденных средств

За последний год компания Scam Sniffer обнаружила мошенников, похитивших около 295 миллионов долларов у примерно 324 000 жертв.

Тренды

Примечательно, что 11 марта было украдено почти 7 миллионов долларов, в основном из-за колебаний обменного курса USDC и фишинговых сайтов, выдающих себя за Circle. Также значительный всплеск краж произошел около 24 марта, что совпало со взломом Arbitrum's Discord и последующими событиями, связанными с airdrop.

Каждый пик краж связан с событиями в масштабах сообщества, которые могут быть воздушными десантами или хакерскими инцидентами

Заслуживающие внимания средства для пополнения кошелька

После того, как ZachXBT разоблачил Monkey Drainer, они объявили о своем уходе, просуществовав 6 месяцев. Затем Venom забрал себе большую часть их клиентов. Впоследствии, примерно в марте, появились MS, Inferno, Angel и Pink. После того, как Venom прекратил свою деятельность примерно в апреле, большинство фишинговых групп перешли на использование других сервисов. С учетом 20%-ной комиссии Drainer, они заработали не менее 47 миллионов долларов на продаже этих услуг.

Тенденции в области "опустошения" кошелька

Анализ тенденций показывает, что фишинговая активность постоянно растет. Более того, каждый раз, когда Drainer уходит, ему на смену приходит новый, например, Angel появился в качестве замены после того, как Inferno объявил о своём уходе.

Как они инициируют фишинговые действия?

Эти фишинговые сайты в основном получают трафик несколькими способами:

• Хакерские атаки:
  • Официальные аккаунты проекта в Discord и Twitter взломаны
  • Атаки на фронт-энд официальных проектов или используемые в них библиотеки
• Органический трафик
  • Передача NFT или токенов
  • Эксплуатация ссылок на Discord с истекшим сроком действия
  • Спам напоминаний и комментариев в Twitter
• Платный трафик
  • Рекламный поиск Google
  • Реклама в Twitter

Хотя хакерские атаки оказывают широкое воздействие, сообщество часто реагирует на них быстро, как правило, в течение 10-50 минут. В отличие от этого, воздушные капли, органический трафик, платная реклама и использование просроченных ссылок Discord менее заметны.

Распространенные сигнатуры фишинга

Разные типы активов имеют разные способы инициирования вредоносных фишинговых сигнатур. Выше приведены некоторые распространенные методы фишинговой подписи для различных типов активов. Дренажники будут решать, какую вредоносную фишинговую сигнатуру инициировать, основываясь на типах активов, хранящихся в кошельке жертвы.

Например, из случая использования сигнала GMX's signalTransfer для кражи токенов Reward LP очевидно, что фишинговые техники стали очень сложными и приспособленными для конкретных активов.

Расширение использования смарт-контрактов

1） Мультикалл

Начиная с Inferno, все больше внимания уделяется использованию контрактной технологии. Например, в случаях, когда для разделения комиссии за транзакцию требуется две отдельные транзакции, этот процесс может быть недостаточно быстрым. Это может позволить жертве отозвать авторизацию до второй передачи. Чтобы повысить эффективность, они начали использовать мультиколл для более эффективной передачи активов.

2）CREATE2 & CREATE

Чтобы обойти некоторые проверки безопасности кошельков, они также начали экспериментировать с create2 или create для динамической генерации временных адресов. Такой подход делает неэффективными "черные списки" на основе кошельков и усложняет исследование фишинговой деятельности. Поскольку Вы не можете знать, куда будут переданы активы, не подписав договор, а временные адреса не представляют большой аналитической ценности, это создает значительные трудности. Это существенное изменение по сравнению с прошлым годом.

Фишинговый сайт

Анализ количества фишинговых сайтов показывает постоянный ежемесячный рост фишинговой активности, тесно связанный с наличием стабильных сервисов по опустошению кошельков.

Домены, используемые этими фишинговыми сайтами, в основном зарегистрированы у определенных регистраторов доменов. Анализ адресов серверов показывает, что большинство из них используют Cloudflare, чтобы скрыть реальное местоположение своих серверов.

Инструменты для отмывания денег

Синдбад

Sinbad - это биткойн-миксер, основанный 5 октября 2022 года. Он скрывает детали транзакций, чтобы скрыть движение средств в блокчейне.

Министерство финансов США описывает Sinbad как "микшер виртуальных валют, основной инструмент отмывания денег для северокорейской хакерской группы Lazarus, внесенной в список OFAC". Sinbad распоряжался средствами, полученными в результате хакерских инцидентов Horizon Bridge и Axie Infinity, а также переводил средства, связанные с такой деятельностью, как "обход санкций, торговля наркотиками, покупка материалов, связанных с сексуальной эксплуатацией детей, и участие в других незаконных продажах на рынке темной паутины".

Хакеры Alphapo (Lazarus Group) использовали Sinbad в процессе отмывания денег, что видно по таким операциям, как:

(https://oxt.me/transaction/2929e9d0055a431e1879b996d0d6f70aa607bb123d12bfad42e1f507d1d200a5)

Tornado Cash

(https://dune.com/misttrack/mixer-2023)

Tornado Cash - это полностью децентрализованный протокол, не требующий хранения, который повышает конфиденциальность транзакций, разрывая внутрицепочечную связь между адресами источника и назначения. Для защиты конфиденциальности Tornado Cash использует смарт-контракт, который принимает депозиты ETH и других токенов с одного адреса и позволяет выводить их на другой адрес, т.е. отправлять ETH и другие токены на любой адрес таким образом, чтобы скрыть адрес отправителя. .

В 2023 году пользователи внесли на счет Tornado Cash в общей сложности 342 042 ETH (около $614 млн.), а вывели из Tornado Cash в общей сложности 314 740 ETH (около $567 млн.).

eXch

(https://dune.com/misttrack/mixer-2023)

В 2023 году пользователи внесли в eXch в общей сложности 47 235 ETH (примерно $90,14 млн.), и в общей сложности 25 508 148 стабильных монеток ERC20 (примерно $25,5 млн.) были внесены в eXch.

Рельсовая пушка

Railgun использует криптографическую технологию zk-SNARKs, чтобы сделать транзакции полностью невидимыми. Railgun "защищает" токены пользователя в рамках своей системы конфиденциальности, так что каждая транзакция кажется отправленной с адреса контракта Railgun на блокчейне.

В начале 2023 года ФБР заявило, что северокорейская хакерская группа Lazarus Group использовала Railgun для отмывания более $60 млн. средств, украденных с моста Горизонт Гармонии.

Заключение

В этой статье рассказывается о деятельности северокорейской хакерской группы Lazarus Group в 2023 году. Команда безопасности SlowMist постоянно следила за этой хакерской группой и обобщила и проанализировала динамику ее развития и методы отмывания денег, чтобы составить ее профиль. В 2023 году рыболовецкие банды стали свирепствовать, нанося огромный финансовый ущерб индустрии блокчейна. Эти банды действуют скоординированно, представляя собой "эстафетную" схему нападений. Их постоянные и масштабные атаки создают серьезные проблемы для безопасности отрасли. Мы хотели бы выразить благодарность платформе Web3 для борьбы с мошенничеством, Scam Sniffer, за раскрытие информации о фишинговой банде Wallet Drainers. Мы считаем, что эта информация имеет большое значение для понимания их методов работы и ситуации с прибылью. Наконец, мы также познакомим Вас с инструментами для отмывания денег, которые обычно используют хакеры.

Загрузите полный отчет:

https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(EN).pdf

Отказ от ответственности：

1. Эта статья перепечатана из[SlowMist Technology]. Все авторские права принадлежат автору[команде slow fogsecurity]. Если у Вас есть возражения против этой перепечатки, пожалуйста, свяжитесь с командой Gate Learn, и они незамедлительно рассмотрят их.
2. Предупреждение об ответственности: Мнения и взгляды, выраженные в этой статье, принадлежат исключительно автору и не являются инвестиционным советом.
3. Перевод статьи на другие языки осуществляется командой Gate Learn. Если не указано, копирование, распространение или плагиат переведенных статей запрещены.