Lazarus-Gruppe

Aktualisierungen im Jahr 2023

Öffentlichen Informationen zufolge wurden im Jahr 2023 (Stand Juni) keine größeren Fälle von Kryptowährungsdiebstahl der nordkoreanischen Hackergruppe Lazarus Group zugeschrieben. Basierend auf On-Chain-Aktivitäten hat die Lazarus Group hauptsächlich die gestohlenen Kryptowährungsgelder aus dem Jahr 2022 gewaschen, einschließlich der etwa 100 Millionen US-Dollar, die durch den Angriff auf die Cross-Chain-Brücke Harmony am 23. Juni 2022 verloren gingen.

Spätere Fakten haben jedoch gezeigt, dass die Lazarus Group neben der Geldwäsche der gestohlenen Kryptowährungsgelder aus dem Jahr 2022 auch im Dunkeln agiert und sich an APT-bezogenen Angriffsaktivitäten beteiligt. Diese Aktivitäten führten ab dem 3. Juni direkt zu den „Dark 101 Days“ in der Kryptowährungsbranche.

Während der „Dark 101 Days“ wurden insgesamt fünf Plattformen gehackt, wobei die gestohlene Gesamtsumme 300 Millionen US-Dollar überstieg, wobei es sich hauptsächlich um zentralisierte Serviceplattformen handelte.

Um den 12. September herum entdeckte SlowMist zusammen mit seinen Partnern einen groß angelegten APT-Angriff der Hackergruppe Lazarus Group, der auf die Kryptowährungsbranche abzielte. Die Angriffsmethode ist wie folgt: Erstens täuschen sie ihre Identität, indem sie die Verifizierung einer realen Person nutzen, um das Verifizierungspersonal zu täuschen und zu echten Kunden zu werden. Anschließend tätigen sie tatsächliche Einzahlungen. Mit dieser Kundenidentität als Tarnung setzen sie während der Kommunikation selektiv benutzerdefinierte Mac- oder Windows-Trojaner für offizielles Personal und Kunden (Angreifer) ein und erhalten so die Erlaubnis, sich seitlich innerhalb des internen Netzwerks zu bewegen. Sie lauern lange darauf, das Ziel zu erreichen, Gelder zu stehlen.

Auch das US-amerikanische FBI ist besorgt über große Diebstähle im Kryptowährungs-Ökosystem und erklärte in einer Pressemitteilung öffentlich, dass es vom nordkoreanischen Hacker Lazarus Group manipuliert wurde. Das Folgende ist eine relevante Pressemitteilung des FBI aus dem Jahr 2023 zum nordkoreanischen Hacker Lazarus Group:

• Am 23. Januar bestätigte das FBI (https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft) Der nordkoreanische Hacker Lazarus Group soll für den Harmony-Hack-Vorfall verantwortlich sein.

• Am 22. August veröffentlichte das FBI eine Mitteilung (https://www.fbi.gov/news/press-releases/fbi-identify-cryptocurrency-funds-stolen-by-dprk) Darin heißt es, dass die nordkoreanische Hackerorganisation Hacks, an der Atomic Wallet, Alphapo und CoinsPaid beteiligt waren, insgesamt 197 Millionen US-Dollar an Kryptowährungen gestohlen habe.

• Am 6. September veröffentlichte das FBI eine Pressemitteilung (https://www.fbi.gov/news/press-releases/fbi-identify-cryptocurrency-funds-stolen-by-dprk). Dies bestätigt, dass der nordkoreanische Hacker Lazarus Group für den Diebstahl von 41 Millionen US-Dollar von der Kryptowährungs-Glücksspielplattform Stake.com verantwortlich ist.

Analyse von Geldwäschemethoden

Unserer Analyse zufolge haben sich auch die Geldwäschemethoden des nordkoreanischen Hackers Lazarus Group im Laufe der Zeit weiterentwickelt. Von Zeit zu Zeit werden neue Methoden zur Geldwäsche auftauchen. Der Zeitplan für Änderungen bei den Geldwäschemethoden sieht wie folgt aus:

Analyse von Bandenprofilen

Basierend auf der starken nachrichtendienstlichen Unterstützung der Partner des InMist-Geheimdienstnetzwerks verfolgte und analysierte das SlowMist-AML-Team die Daten im Zusammenhang mit diesen gestohlenen Vorfällen und der Hackergruppe Lazarus Group und erstellte anschließend ein Teilporträt der Hackergruppe Lazarus Group:

• Benutzen Sie oft die europäische oder türkische Identität als Tarnung.
• Dutzende IP-Informationen, zahlreiche Informationen zu E-Mail-Adressen und einige desensibilisierte Identitätsinformationen wurden beschafft:
  • 111...49
  • 103...162
  • 103...205
  • 210...9
  • 103...29
  • 103...163
  • 154...10
  • 185...217

Brieftaschen-Abtropfständer

Hinweis: Dieser Abschnitt wurde von Scam Sniffer geschrieben, wofür ich meinen Dank aussprechen möchte.

Überblick

Wallet Drainers, eine Art von Malware im Zusammenhang mit Kryptowährungen, haben im vergangenen Jahr bemerkenswerte „Erfolge“ erzielt. Diese Softwareprogramme werden auf Phishing-Websites eingesetzt, um Benutzer dazu zu verleiten, bösartige Transaktionen zu signieren und so Vermögenswerte aus ihren Kryptowährungs-Wallets zu stehlen. Diese Phishing-Aktivitäten zielen in unterschiedlicher Form kontinuierlich auf normale Benutzer ab und führen zu erheblichen finanziellen Verlusten für viele, die diese böswilligen Transaktionen unabsichtlich unterzeichnen.

Statistiken zu gestohlenen Geldern

Im vergangenen Jahr hat Scam Sniffer festgestellt, dass Wallet Drainers fast 295 Millionen US-Dollar von etwa 324.000 Opfern gestohlen haben.

Trends

Bemerkenswert ist, dass am 11. März fast 7 Millionen US-Dollar gestohlen wurden, hauptsächlich aufgrund von Schwankungen des USDC-Wechselkurses und Phishing-Sites, die sich als Circle ausgeben. Um den 24. März kam es auch zu einem erheblichen Anstieg der Diebstähle, der mit der Kompromittierung von Arbitrums Discord und den darauffolgenden Airdrop-Ereignissen zusammenfiel.

Jeder Höhepunkt der Diebstähle ist mit gemeinschaftsweiten Ereignissen verbunden, bei denen es sich um Luftabwürfe oder Hacking-Vorfälle handeln kann

Bemerkenswerte Abtropfgestelle für Geldbörsen

Nachdem ZachXBT Monkey Drainer aufgedeckt hatte, gaben sie ihren Ausstieg bekannt, nachdem sie sechs Monate lang aktiv waren. Venom übernahm daraufhin den Großteil ihrer Kundschaft. Anschließend entstanden etwa im März MS, Inferno, Angel und Pink. Da Venom etwa im April seinen Betrieb einstellte, wechselten die meisten Phishing-Gruppen dazu, andere Dienste zu nutzen. Mit einer Drainer-Gebühr von 20 % verdienten sie durch den Verkauf dieser Dienste mindestens 47 Millionen US-Dollar.

Trends bei Brieftaschen-Abtropfgestellen

Die Analyse des Trends zeigt, dass die Phishing-Aktivitäten stetig zunehmen. Darüber hinaus wird jedes Mal, wenn ein Drainer aussteigt, ein neuer an seine Stelle gesetzt, beispielsweise Angel, der als Ersatz auftaucht, nachdem Inferno seinen Abgang angekündigt hat.

Wie initiieren sie Phishing-Aktivitäten?

Diese Phishing-Websites akquirieren Traffic hauptsächlich über verschiedene Methoden:

• Hackerangriffe:
  • Offizielle Discord- und Twitter-Konten des Projekts werden gehackt
  • Angriffe auf das Frontend offizieller Projekte oder die von ihnen verwendeten Bibliotheken
• Organischer Verkehr
  • NFTs oder Token aus der Luft abwerfen
  • Ausnutzung abgelaufener Discord-Links
  • Spam-Erinnerungen und Kommentare auf Twitter
• Bezahlter Verkehr
  • Google-Anzeigensuche
  • Twitter-Anzeigen

Obwohl Hackerangriffe weitreichende Auswirkungen haben, reagiert die Community oft umgehend, typischerweise innerhalb von 10–50 Minuten. Im Gegensatz dazu fallen Airdrops, organischer Traffic, bezahlte Werbung und die Ausnutzung abgelaufener Discord-Links weniger auf.

Häufige Phishing-Signaturen

Verschiedene Arten von Vermögenswerten verfügen über unterschiedliche Möglichkeiten, bösartige Phishing-Signaturen zu initiieren. Im Folgenden sind einige gängige Phishing-Signaturmethoden für verschiedene Arten von Vermögenswerten aufgeführt. Drainers entscheiden, welche Art von böswilliger Phishing-Signatur basierend auf den Arten von Vermögenswerten im Wallet des Opfers initiiert werden soll.

Der Fall der Ausnutzung von signalTransfer von GMX zum Diebstahl von Reward-LP-Token zeigt beispielsweise, dass die Phishing-Techniken sehr ausgefeilt und auf bestimmte Vermögenswerte zugeschnitten sind.

Erhöhen Sie den Einsatz von Smart Contracts

1）Mehrfachanruf

Beginnend mit Inferno liegt der Schwerpunkt verstärkt auf der Nutzung von Vertragstechnologie. Wenn beispielsweise die Aufteilung der Transaktionsgebühren zwei separate Transaktionen erfordert, ist der Prozess möglicherweise nicht schnell genug. Dies könnte es dem Opfer ermöglichen, die Genehmigung vor der zweiten Übertragung zu widerrufen. Um die Effizienz zu steigern, begannen sie, Multicall für effektivere Vermögensübertragungen zu nutzen.

2）ERSTELLEN2 & ERSTELLEN

Um einige Sicherheitsüberprüfungen der Wallets zu umgehen, begannen sie auch mit create2 oder create zu experimentieren, um temporäre Adressen dynamisch zu generieren. Dieser Ansatz macht Wallet-basierte Blacklists wirkungslos und erschwert die Untersuchung von Phishing-Aktivitäten. Da Sie ohne Unterschrift nicht wissen können, wohin die Vermögenswerte übertragen werden, und temporäre Adressen keinen großen analytischen Wert bieten, stellt dies eine erhebliche Herausforderung dar. Dies stellt eine wesentliche Veränderung im Vergleich zum Vorjahr dar.

Phishing-Website

Die Analyse der Anzahl der Phishing-Websites zeigt einen stetigen monatlichen Anstieg der Phishing-Aktivitäten, der eng mit der Verfügbarkeit stabiler Dienste zur Entlastung des Geldbeutels zusammenhängt.

Die von diesen Phishing-Websites verwendeten Domains sind hauptsächlich bei bestimmten Domain-Registraren registriert. Die Analyse der Serveradressen zeigt, dass die meisten Cloudflare verwenden, um ihre tatsächlichen Serverstandorte zu verbergen.

Geldwäsche-Tools

Sindbad

Sinbad ist ein Bitcoin-Mixer, der am 5. Oktober 2022 gegründet wurde. Es verschleiert Transaktionsdetails, um den Geldfluss auf der Blockchain zu verbergen.

Das US-Finanzministerium beschreibt Sinbad als „virtuellen Währungsmixer, ein primäres Geldwäscheinstrument für die nordkoreanische Hackergruppe Lazarus, benannt von OFAC“. Sinbad hat Gelder aus den Hacking-Vorfällen Horizon Bridge und Axie Infinity abgewickelt und auch Gelder im Zusammenhang mit Aktivitäten wie „Umgehung von Sanktionen, Drogenhandel, Kauf von Materialien im Zusammenhang mit sexueller Ausbeutung von Kindern und Beteiligung an anderen illegalen Verkäufen auf dem Dark-Web-Markt“ überwiesen. ”

Die Alphapo-Hacker (Lazarus Group) nutzten Sinbad in ihrem Geldwäscheprozess, wie in Transaktionen wie den folgenden zu sehen ist:

(https://oxt.me/transaction/2929e9d0055a431e1879b996d0d6f70aa607bb123d12bfad42e1f507d1d200a5)

Tornado-Bargeld

(https://dune.com/misttrack/mixer-2023)

Tornado Cash ist ein vollständig dezentralisiertes, nicht verwahrtes Protokoll, das den Datenschutz bei Transaktionen verbessert, indem es die On-Chain-Verbindung zwischen Quell- und Zieladressen unterbricht. Um die Privatsphäre zu schützen, verwendet Tornado Cash einen intelligenten Vertrag, der ETH- und andere Token-Einzahlungen von einer Adresse akzeptiert und es ihnen ermöglicht, an eine andere Adresse abzuheben, d. h. ETH- und andere Token auf eine Weise an eine beliebige Adresse zu senden, die die Absenderadresse verbirgt. .

Im Jahr 2023 haben Benutzer insgesamt 342.042 ETH (ca. 614 Millionen US-Dollar) bei Tornado Cash eingezahlt und insgesamt 314.740 ETH (ca. 567 Millionen US-Dollar) von Tornado Cash abgehoben.

eXch

(https://dune.com/misttrack/mixer-2023)

Im Jahr 2023 haben Benutzer insgesamt 47.235 ETH (ca. 90,14 Millionen US-Dollar) bei eXch eingezahlt, und insgesamt wurden 25.508.148 ERC20-Stablecoins (ca. 25,5 Millionen US-Dollar) bei eXch eingezahlt.

Railgun

Railgun nutzt die kryptografische Technologie von zk-SNARK, um Transaktionen völlig unsichtbar zu machen. Railgun „schützt“ die Token des Benutzers innerhalb seines Datenschutzsystems, sodass jede Transaktion scheinbar von der Railgun-Vertragsadresse in der Blockchain gesendet wird.

Anfang 2023 gab das FBI an, dass die nordkoreanische Hackergruppe Lazarus Group Railgun genutzt habe, um über 60 Millionen US-Dollar an von Harmonys Horizon Bridge gestohlenen Geldern zu waschen.

Abschluss

Dieser Artikel stellt die Aktivitäten der nordkoreanischen Hackergruppe Lazarus Group im Jahr 2023 vor. Das SlowMist-Sicherheitsteam hat diese Hackergruppe kontinuierlich überwacht und ihre Dynamik und Geldwäschemethoden zusammengefasst und analysiert, um ein Profil der Gruppe zu erstellen. Im Jahr 2023 sind Fischereibanden weit verbreitet und verursachen massive finanzielle Verluste für die Blockchain-Industrie. Diese Banden agieren koordiniert und weisen ein „Relais“-Angriffsmuster auf. Ihre kontinuierlichen und groß angelegten Angriffe stellen erhebliche Herausforderungen für die Sicherheit der Branche dar. Wir möchten der Web3-Betrugsbekämpfungsplattform Scam Sniffer unseren Dank für die Offenlegung der Phishing-Bande Wallet Drainers aussprechen. Wir glauben, dass diese Informationen für das Verständnis ihrer Arbeitsweise und Gewinnsituation von großer Bedeutung sind. Abschließend bieten wir auch eine Einführung in die von Hackern häufig eingesetzten Geldwäsche-Tools.

Laden Sie den vollständigen Bericht herunter:

https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(EN).pdf

Haftungsausschluss:

1. Dieser Artikel wurde von [SlowMist Technology] nachgedruckt. Alle Urheberrechte liegen beim ursprünglichen Autor [Slow Fogsecurity Team]. Wenn Sie Einwände gegen diesen Nachdruck haben, wenden Sie sich bitte an das Gate Learn- Team, das sich umgehend darum kümmern wird.
2. Haftungsausschluss: Die in diesem Artikel geäußerten Ansichten und Meinungen sind ausschließlich die des Autors und stellen keine Anlageberatung dar.
3. Übersetzungen des Artikels in andere Sprachen werden vom Gate Learn-Team durchgeführt. Sofern nicht anders angegeben, ist das Kopieren, Verbreiten oder Plagiieren der übersetzten Artikel verboten.