Phân tích diễn giải báo cáo về tin tặc, nhóm lừa đảo và công cụ rửa tiền của Triều Tiên

Nhóm Lazarus

Cập nhật vào năm 2023

Theo thông tin công khai vào năm 2023, tính đến tháng 6, không có vụ trộm tiền điện tử lớn nào được cho là do nhóm hacker Lazarus Group của Triều Tiên thực hiện. Dựa trên các hoạt động trên chuỗi, Tập đoàn Lazarus chủ yếu rửa tiền tiền điện tử bị đánh cắp từ năm 2022, bao gồm cả khoản mất khoảng 100 triệu đô la trong cuộc tấn công vào cầu xuyên chuỗi Harmony vào ngày 23 tháng 6 năm 2022.

Tuy nhiên, những sự thật sau đó đã chỉ ra rằng Lazarus Group, ngoài việc rửa số tiền điện tử bị đánh cắp từ năm 2022, còn hoạt động ngầm, tham gia vào các hoạt động tấn công liên quan đến APT. Những hoạt động này trực tiếp dẫn đến “101 ngày đen tối” trong ngành tiền điện tử bắt đầu từ ngày 3 tháng 6.

Trong “101 ngày đen tối”, tổng cộng 5 nền tảng đã bị tấn công, với tổng số tiền bị đánh cắp vượt quá 300 triệu USD, chủ yếu nhắm vào các nền tảng dịch vụ tập trung.

Vào khoảng ngày 12 tháng 9, SlowMist cùng với các đối tác của mình đã phát hiện ra một cuộc tấn công APT quy mô lớn nhắm vào ngành công nghiệp tiền điện tử của nhóm hacker Lazarus Group. Phương thức tấn công như sau: đầu tiên, chúng thực hiện hành vi lừa dối danh tính bằng cách sử dụng xác minh người thật để đánh lừa nhân viên xác minh và trở thành khách hàng chân chính. Sau đó họ thực hiện gửi tiền thực tế. Lấy danh tính khách hàng này làm vỏ bọc, họ triển khai có chọn lọc các trojan Mac hoặc Windows tùy chỉnh cho nhân viên chính thức và khách hàng (kẻ tấn công) trong quá trình liên lạc, giành được quyền di chuyển ngang trong mạng nội bộ. Họ ẩn nấp trong một thời gian dài để đạt được mục tiêu trộm tiền.

FBI Hoa Kỳ cũng lo ngại về các vụ trộm lớn trong hệ sinh thái tiền điện tử và tuyên bố công khai trong một thông cáo báo chí rằng nó đã bị thao túng bởi nhóm tin tặc Lazarus của Triều Tiên. Sau đây là thông cáo báo chí có liên quan của FBI vào năm 2023 liên quan đến Nhóm hacker Lazarus của Triều Tiên:

• Vào ngày 23 tháng 1, FBI đã xác nhận (https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft) Nhóm hacker Triều Tiên Lazarus phải chịu trách nhiệm về vụ việc Harmony Hack.

• Vào ngày 22 tháng 8, FBI đã đưa ra thông báo (https://www.fbi.gov/news/press-releases/fbi-identify-cryptocurrency-funds-stolen-by-dprk) tuyên bố rằng tổ chức hacker Triều Tiên Hacks liên quan đến Atomic Wallet, Alphapo và CoinsPaid đã đánh cắp tổng cộng 197 triệu đô la tiền điện tử.

• Vào ngày 6 tháng 9, FBI đã đưa ra thông cáo báo chí (https://www.fbi.gov/news/press-releases/fbi-identify-cryptocurrency-funds-stolen-by-dprk) xác nhận rằng nhóm tin tặc Lazarus của Triều Tiên chịu trách nhiệm về vụ trộm 41 triệu USD từ nền tảng cờ bạc tiền điện tử Stake.com.

Phân tích các phương pháp rửa tiền

Theo phân tích của chúng tôi, các phương thức rửa tiền của nhóm hacker Triều Tiên Lazarus cũng tiếp tục phát triển theo thời gian. Các phương thức rửa tiền mới thỉnh thoảng sẽ xuất hiện. Lịch trình thay đổi các phương thức rửa tiền như sau:

Phân tích hồ sơ băng nhóm

Dựa trên sự hỗ trợ mạnh mẽ liên quan đến tình báo của các đối tác mạng tình báo InMist, nhóm SlowMist AML đã theo dõi và phân tích dữ liệu liên quan đến các sự cố bị đánh cắp này và nhóm hacker Lazarus Group, sau đó thu được một phần chân dung của nhóm hacker Lazarus Group:

• Thường sử dụng bản sắc châu Âu hoặc Thổ Nhĩ Kỳ để ngụy trang.
• Hàng chục thông tin IP, nhiều thông tin địa chỉ email và một số thông tin nhận dạng đã được giải mẫn cảm đã được thu thập:
  • 111...49
  • 103...162
  • 103...205
  • 210...9
  • 103.. 0,29
  • 103...163
  • 154...10
  • 185...217

Dụng cụ rút ví

Lưu ý: Phần này được viết bởi Scam Sniffer, tôi muốn bày tỏ lòng biết ơn của mình.

Tổng quát

Wallet Drainers, một loại phần mềm độc hại liên quan đến tiền điện tử, đã đạt được “thành công” đáng chú ý trong năm qua. Các chương trình phần mềm này được triển khai trên các trang web lừa đảo để đánh lừa người dùng ký các giao dịch độc hại, từ đó đánh cắp tài sản từ ví tiền điện tử của họ. Các hoạt động lừa đảo này liên tục nhắm đến người dùng thông thường dưới nhiều hình thức khác nhau, dẫn đến tổn thất tài chính đáng kể cho nhiều người vô tình ký vào các giao dịch độc hại này.

Thống kê quỹ bị đánh cắp

Trong năm qua, Scam Sniffer đã phát hiện Wallet Drainers đánh cắp gần 295 triệu USD từ khoảng 324.000 nạn nhân.

Xu hướng

Đáng chú ý, vào ngày 11 tháng 3, gần 7 triệu USD đã bị đánh cắp, chủ yếu do biến động của tỷ giá hối đoái USDC và các trang web lừa đảo mạo danh Circle. Cũng có sự gia tăng đáng kể về số vụ trộm vào khoảng ngày 24 tháng 3, trùng hợp với sự xâm phạm của Discord của Arbitrum và các sự kiện airdrop tiếp theo.

Mỗi đỉnh điểm của các vụ trộm đều gắn liền với các sự kiện trên toàn cộng đồng, có thể là các đợt airdrop hoặc các vụ hack

Máy rút ví đáng chú ý

Sau khi ZachXBT tiết lộ Monkey Drainer, họ đã tuyên bố rời nhóm sau khi hoạt động được 6 tháng. Sau đó, Venom đã tiếp quản hầu hết khách hàng của họ. Sau đó, MS, Inferno, Angel và Pink nổi lên vào khoảng tháng 3. Với việc Venom ngừng hoạt động vào khoảng tháng 4, hầu hết các nhóm lừa đảo đều chuyển sang sử dụng các dịch vụ khác. Với mức phí Drainer 20%, họ kiếm được ít nhất 47 triệu USD nhờ bán các dịch vụ này.

Xu hướng rút ví

Phân tích xu hướng cho thấy các hoạt động lừa đảo không ngừng phát triển. Hơn nữa, mỗi khi một Drainer thoát ra, một cái mới sẽ thay thế nó, chẳng hạn như Angel nổi lên như một người thay thế sau khi Inferno tuyên bố rời đi.

Họ bắt đầu các hoạt động lừa đảo bằng cách nào?

Các trang web lừa đảo này chủ yếu thu được lưu lượng truy cập thông qua một số phương pháp:

• Các cuộc tấn công của hacker:
  • Dự án chính thức Discord và tài khoản Twitter bị hack
  • Tấn công vào phần đầu của các dự án chính thức hoặc thư viện mà chúng sử dụng
• Lưu lượng truy cập không phải trả tiền
  • Airdrop NFT hoặc Token
  • Khai thác các liên kết Discord đã hết hạn
  • Lời nhắc và bình luận spam trên Twitter
• Lưu lượng truy cập phải trả tiền
  • Tìm kiếm quảng cáo Google
  • Quảng cáo Twitter

Mặc dù các cuộc tấn công của hacker có sức ảnh hưởng rộng rãi nhưng cộng đồng thường phản ứng kịp thời, thường trong vòng 10-50 phút. Ngược lại, airdrop, lưu lượng truy cập không phải trả tiền, quảng cáo trả phí và khai thác các liên kết Discord đã hết hạn ít được chú ý hơn.

Chữ ký lừa đảo phổ biến

Các loại nội dung khác nhau có những cách khác nhau để bắt đầu chữ ký lừa đảo độc hại. Trên đây là một số phương pháp chữ ký lừa đảo phổ biến đối với các loại nội dung khác nhau. Những kẻ rút tiền sẽ quyết định loại chữ ký lừa đảo độc hại nào sẽ bắt đầu dựa trên loại tài sản mà ví của nạn nhân nắm giữ.

Ví dụ: từ trường hợp khai thác signalTransfer của GMX để đánh cắp mã thông báo Reward LP, rõ ràng là các kỹ thuật lừa đảo đã trở nên rất tinh vi và được thiết kế riêng cho các tài sản cụ thể.

Tăng cường sử dụng hợp đồng thông minh

1) Đa cuộc gọi

Bắt đầu với Inferno, người ta ngày càng tập trung hơn vào việc sử dụng công nghệ hợp đồng. Ví dụ: trong trường hợp việc chia phí giao dịch yêu cầu hai giao dịch riêng biệt thì quy trình có thể không đủ nhanh. Điều này có thể cho phép nạn nhân thu hồi ủy quyền trước lần chuyển thứ hai. Để nâng cao hiệu quả, họ bắt đầu sử dụng phương thức đa cuộc gọi để chuyển giao tài sản hiệu quả hơn.

2) TẠO2 & TẠO

Để bỏ qua một số kiểm tra bảo mật ví, họ cũng bắt đầu thử nghiệm create2 hoặc create để tự động tạo địa chỉ tạm thời. Cách tiếp cận này làm cho danh sách đen dựa trên ví không hiệu quả và làm phức tạp thêm việc nghiên cứu các hoạt động lừa đảo. Vì bạn không thể biết tài sản sẽ được chuyển đến đâu nếu không ký tên và địa chỉ tạm thời không mang lại nhiều giá trị phân tích nên điều này đặt ra một thách thức đáng kể. Điều này đánh dấu một sự thay đổi đáng kể so với năm ngoái.

Trang web lừa đảo

Phân tích số lượng trang web lừa đảo cho thấy các hoạt động lừa đảo gia tăng đều đặn hàng tháng, gắn chặt với sự sẵn có của các dịch vụ rút tiền ổn định.

Các miền được các trang web lừa đảo này sử dụng chủ yếu được đăng ký với các nhà đăng ký tên miền cụ thể. Phân tích địa chỉ máy chủ cho thấy hầu hết đều sử dụng Cloudflare để ẩn vị trí máy chủ thực của họ.

Công cụ rửa tiền

Sinbad

Sinbad là một công cụ trộn Bitcoin được thành lập vào ngày 5 tháng 10 năm 2022. Nó che giấu chi tiết giao dịch để che giấu dòng tiền trên blockchain.

Bộ Tài chính Hoa Kỳ mô tả Sinbad là “máy trộn tiền ảo, công cụ rửa tiền chính của nhóm hack Lazarus của Triều Tiên, do OFAC chỉ định”. Sinbad đã xử lý tiền từ các vụ hack Horizon Bridge và Axie Infinity, đồng thời cũng chuyển tiền liên quan đến các hoạt động như “trốn tránh các lệnh trừng phạt, buôn bán ma túy, mua tài liệu liên quan đến khai thác tình dục trẻ em và tham gia vào các hoạt động mua bán bất hợp pháp khác trên thị trường web đen. ”

Các hacker Alphapo (Tập đoàn Lazarus) đã sử dụng Sinbad trong quá trình rửa tiền của họ, như đã thấy trong các giao dịch như:

(https://oxt.me/transaction/2929e9d0055a431e1879b996d0d6f70aa607bb123d12bfad42e1f507d1d200a5)

Tiền lốc xoáy

(https://dune.com/misttrack/mixer-2023)

Tornado Cash là một giao thức phi tập trung hoàn toàn, không giám sát nhằm cải thiện quyền riêng tư của giao dịch bằng cách phá vỡ liên kết trên chuỗi giữa địa chỉ nguồn và địa chỉ đích. Để bảo vệ quyền riêng tư, Tornado Cash sử dụng hợp đồng thông minh chấp nhận ETH và các khoản tiền gửi mã thông báo khác từ một địa chỉ và cho phép họ rút tiền đến một địa chỉ khác, tức là gửi ETH và các mã thông báo khác đến bất kỳ địa chỉ nào theo cách ẩn địa chỉ gửi. .

Vào năm 2023, người dùng đã gửi tổng cộng 342.042 ETH (khoảng 614 triệu USD) vào Tornado Cash và rút tổng cộng 314.740 ETH (khoảng 567 triệu USD) từ Tornado Cash.

eXch

(https://dune.com/misttrack/mixer-2023)

Vào năm 2023, người dùng đã gửi tổng cộng 47.235 ETH (khoảng 90,14 triệu USD) vào eXch và tổng cộng 25.508.148 stablecoin ERC20 (khoảng 25,5 triệu USD) đã được gửi vào eXch.

súng điện từ

Railgun sử dụng công nghệ mã hóa zk-SNARKs để thực hiện các giao dịch hoàn toàn vô hình. Railgun “bảo vệ” token của người dùng trong hệ thống bảo mật của nó, để mỗi giao dịch dường như được gửi từ địa chỉ hợp đồng Railgun trên blockchain.

Đầu năm 2023, FBI tuyên bố rằng nhóm hacker Triều Tiên Lazarus Group đã sử dụng Railgun để rửa hơn 60 triệu USD số tiền bị đánh cắp từ Harmony's Horizon Bridge.

Phần kết luận

Bài viết này giới thiệu hoạt động của nhóm hacker Triều Tiên Lazarus Group trong năm 2023. Nhóm bảo mật SlowMist đã liên tục theo dõi nhóm hacker này và đã tóm tắt, phân tích động thái cũng như phương pháp rửa tiền của chúng để tạo hồ sơ về nhóm. Vào năm 2023, các băng nhóm đánh cá trở nên tràn lan, gây thiệt hại tài chính lớn cho ngành công nghiệp blockchain. Các băng nhóm này hoạt động một cách phối hợp, thể hiện kiểu tấn công “tiếp sức”. Các cuộc tấn công liên tục và quy mô lớn của chúng đặt ra những thách thức đáng kể đối với an ninh của ngành. Chúng tôi muốn bày tỏ lòng biết ơn đến nền tảng chống lừa đảo Web3, Scam Sniffer, vì họ đã tiết lộ băng đảng lừa đảo Wallet Drainers. Chúng tôi tin rằng thông tin này có ý nghĩa rất lớn trong việc hiểu được phương pháp làm việc và tình hình lợi nhuận của họ. Cuối cùng, chúng tôi cũng giới thiệu về các công cụ rửa tiền thường được tin tặc sử dụng.

Tải báo cáo đầy đủ:

https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(EN).pdf

Tuyên bố từ chối trách nhiệm:

1. Bài viết này được in lại từ [Công nghệ SlowMist]. Mọi bản quyền đều thuộc về tác giả gốc [nhóm bảo mật sương mù chậm]. Nếu có ý kiến phản đối việc tái bản này, vui lòng liên hệ với nhóm Gate Learn , họ sẽ xử lý kịp thời.
2. Tuyên bố miễn trừ trách nhiệm pháp lý: Các quan điểm và ý kiến trình bày trong bài viết này chỉ là của tác giả và không cấu thành bất kỳ lời khuyên đầu tư nào.
3. Việc dịch bài viết sang các ngôn ngữ khác được thực hiện bởi nhóm Gate Learn. Trừ khi được đề cập, việc sao chép, phân phối hoặc đạo văn các bài viết đã dịch đều bị cấm.