Groupe Lazarus

Mises à jour en 2023

Selon les informations publiques de 2023, aucun cas majeur de vol de crypto-monnaie n'a été attribué au groupe de pirates informatiques nord-coréens Lazarus Group au mois de juin. En se basant sur les activités de la chaîne, Lazarus Group a principalement blanchi les fonds de crypto-monnaie volés à partir de 2022, y compris les quelque 100 millions de dollars perdus lors de l'attaque du pont de la chaîne croisée Harmony le 23 juin 2022.

Cependant, des faits ultérieurs ont montré que le Lazarus Group, en plus de blanchir les fonds volés en crypto-monnaie à partir de 2022, a été actif dans l'ombre, s'engageant dans des activités d'attaques liées à l'APT. Ces activités ont directement conduit aux "101 jours sombres" dans le secteur des crypto-monnaies à partir du 3 juin.

Au cours des "101 jours sombres", cinq plateformes au total ont été piratées, pour un montant total de plus de 300 millions de dollars, en ciblant principalement les plateformes de services centralisées.

Vers le 12 septembre, SlowMist et ses partenaires ont découvert une attaque APT de grande envergure visant le secteur des crypto-monnaies et menée par le groupe de pirates Lazarus Group. La méthode d'attaque est la suivante : tout d'abord, ils se livrent à une tromperie d'identité en utilisant la vérification de personne réelle pour tromper le personnel de vérification et se faire passer pour de véritables clients. Ils effectuent ensuite des dépôts réels. Avec cette identité de client comme couverture, ils déploient sélectivement des chevaux de Troie Mac ou Windows personnalisés sur le personnel officiel et les clients (attaquants) pendant la communication, obtenant ainsi des autorisations pour se déplacer latéralement au sein du réseau interne. Ils se cachent pendant longtemps pour atteindre l'objectif de voler des fonds.

Le FBI américain s'inquiète également des vols importants dans l'écosystème des crypto-monnaies et a déclaré publiquement dans un communiqué de presse qu'il était manipulé par les pirates nord-coréens Lazarus Group. Vous trouverez ci-dessous un communiqué de presse du FBI datant de 2023 concernant le pirate informatique nord-coréen Lazarus Group :

• Le 23 janvier, le FBI a confirmé(https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft) Les pirates informatiques nord-coréens Lazarus Group devraient être responsables de l'incident Harmony Hack.

• Le 22 août, le FBI a publié un avis(https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) selon laquelle l'organisation de pirates nord-coréenne Hacks impliquant Atomic Wallet, Alphapo et CoinsPaid a volé un total de 197 millions de dollars en crypto-monnaies.

• Le 6 septembre, le FBI a publié un communiqué de presse(https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) confirmant que les pirates nord-coréens Lazarus Group sont responsables du vol de 41 millions de dollars sur la plateforme de jeux de crypto-monnaies Stake.com.

Analyse des méthodes de blanchiment d'argent

Selon notre analyse, les méthodes de blanchiment d'argent des pirates nord-coréens du Lazarus Group ont également continué à évoluer au fil du temps. De nouvelles méthodes de blanchiment d'argent apparaissent de temps à autre. Le calendrier des changements dans les méthodes de blanchiment d'argent est le suivant :

Analyse du profilage des gangs

Grâce au soutien des partenaires du réseau de renseignement InMist, l'équipe SlowMist AML a suivi et analysé les données relatives à ces vols et au groupe de pirates informatiques Lazarus Group, puis a dressé un portrait partiel du groupe de pirates informatiques Lazarus Group :

• Ils utilisent souvent leur identité européenne ou turque comme déguisement.
• Des dizaines d'informations IP, de nombreuses adresses électroniques et quelques informations d'identité désensibilisées ont été obtenues :
  • 111...49
  • 103...162
  • 103...205
  • 210...9
  • 103...29
  • 103...163
  • 154...10
  • 185...217

Draineurs de portefeuille

Note : Cette section a été rédigée par Scam Sniffer, pour lequel je tiens à exprimer ma gratitude.

Aperçu

Les "Wallet Drainers", un type de logiciel malveillant lié aux crypto-monnaies, ont connu un "succès" notable au cours de l'année écoulée. Ces logiciels sont déployés sur des sites de phishing pour tromper les utilisateurs et les inciter à signer des transactions malveillantes, volant ainsi des actifs dans leurs portefeuilles de crypto-monnaies. Ces activités d'hameçonnage ciblent continuellement les utilisateurs ordinaires sous diverses formes, entraînant des pertes financières importantes pour de nombreuses personnes qui signent involontairement ces transactions malveillantes.

Statistiques sur les fonds volés

Au cours de l'année écoulée, Scam Sniffer a détecté des "Wallet Drainers" qui ont dérobé près de 295 millions de dollars à environ 324 000 victimes.

Tendances

Notamment, le 11 mars, près de 7 millions de dollars ont été volés, principalement en raison des fluctuations du taux de change de l'USDC et de sites d'hameçonnage se faisant passer pour Circle. Les vols ont également connu un pic important autour du 24 mars, coïncidant avec la compromission du Discord d'Arbitrum et les événements de parachutage qui ont suivi.

Chaque pic de vols est associé à des événements communautaires, qui peuvent être des largages d'avions ou des incidents de piratage informatique.

Doseurs d'argent notables

Après que ZachXBT ait exposé Monkey Drainer, ils ont annoncé leur départ après avoir été actifs pendant 6 mois. Venom s'est ensuite emparé de la majeure partie de leur clientèle. Par la suite, MS, Inferno, Angel et Pink sont apparus vers le mois de mars. Venom ayant cessé ses activités vers le mois d'avril, la plupart des groupes d'hameçonnage se sont tournés vers d'autres services. Avec une commission de drainage de 20 %, ils ont gagné au moins 47 millions de dollars en vendant ces services.

Tendances des draineurs de portefeuilles

L'analyse de la tendance montre que les activités d'hameçonnage sont en constante augmentation. De plus, à chaque fois qu'un draineur quitte la compétition, un nouveau le remplace, comme Angel qui est apparu comme remplaçant après qu'Inferno a annoncé son départ.

Comment initient-ils les activités d'hameçonnage ?

Ces sites d'hameçonnage acquièrent principalement du trafic par le biais de plusieurs méthodes :

• Attaques de pirates informatiques :
  • Les comptes officiels Discord et Twitter du projet ont été piratés
  • Attaques sur la partie frontale des projets officiels ou sur les bibliothèques qu'ils utilisent
• Trafic organique
  • Dépose par anticipation de NFT ou de jetons
  • Exploiter les liens Discord expirés
  • Rappels et commentaires sur Twitter
• Trafic payant
  • Recherche d'annonces sur Google
  • Publicités sur Twitter

Bien que les attaques de pirates informatiques aient un large impact, la communauté réagit souvent rapidement, généralement dans les 10 à 50 minutes. En revanche, les "airdrops", le trafic organique, la publicité payante et l'exploitation de liens Discord expirés sont moins visibles.

Signatures d'hameçonnage courantes

Les signatures d'hameçonnage malveillant ne sont pas déclenchées de la même manière selon les types d'actifs. Vous trouverez ci-dessus quelques méthodes courantes de signature d'hameçonnage pour différents types d'actifs. Les draineurs décideront du type de signature d'hameçonnage malveillante à lancer en fonction des types d'actifs contenus dans le portefeuille de la victime.

Par exemple, dans le cas de l'exploitation du signalTransfer de GMX pour voler des jetons Reward LP, il est évident que les techniques d'hameçonnage sont devenues très sophistiquées et adaptées à des actifs spécifiques.

Augmenter l'utilisation des contrats intelligents

1）Multicall

Depuis Inferno, l'accent a été mis sur l'utilisation de la technologie contractuelle. Par exemple, dans les cas où le fractionnement des frais de transaction nécessite deux transactions distinctes, le processus risque de ne pas être assez rapide. Cela pourrait permettre à la victime de révoquer l'autorisation avant le deuxième transfert. Pour plus d'efficacité, ils ont commencé à utiliser le système multicall pour des transferts d'actifs plus efficaces.

2）CREATE2 & CRÉER

Pour contourner certains contrôles de sécurité des portefeuilles, ils ont également commencé à expérimenter create2 ou create pour générer dynamiquement des adresses temporaires. Cette approche rend inefficaces les listes noires basées sur le portefeuille et complique la recherche sur les activités d'hameçonnage. Étant donné que vous ne pouvez pas savoir où les actifs seront transférés sans signature, et que les adresses temporaires n'offrent pas une grande valeur analytique, cela pose un problème important. Il s'agit d'un changement substantiel par rapport à l'année dernière.

Site d'hameçonnage

L'analyse du nombre de sites d'hameçonnage révèle une augmentation mensuelle constante des activités d'hameçonnage, étroitement liée à la disponibilité de services stables de vidage de portefeuille.

Les domaines utilisés par ces sites de phishing sont principalement enregistrés auprès de bureaux d'enregistrement de domaines spécifiques. L'analyse des adresses des serveurs montre que la plupart d'entre eux utilisent Cloudflare pour masquer leur emplacement réel.

Outils de blanchiment d'argent

Sinbad

Sinbad est un mixeur Bitcoin créé le 5 octobre 2022. Elle masque les détails des transactions pour dissimuler les flux de fonds sur la blockchain.

Le département du Trésor américain décrit Sinbad comme un "mélangeur de monnaies virtuelles, principal outil de blanchiment d'argent pour le groupe de pirates informatiques nord-coréen Lazarus, désigné par l'OFAC". Sinbad a manipulé des fonds provenant des piratages d'Horizon Bridge et d'Axie Infinity et a également transféré des fonds liés à des activités telles que "l'évasion de sanctions, le trafic de drogue, l'achat de matériel lié à l'exploitation sexuelle des enfants et la participation à d'autres ventes illégales sur le marché du dark web".

Les pirates informatiques d'Alphapo (Lazarus Group) ont utilisé Sinbad dans leur processus de blanchiment d'argent, comme en témoignent des transactions telles que :

(https://oxt.me/transaction/2929e9d0055a431e1879b996d0d6f70aa607bb123d12bfad42e1f507d1d200a5)

Tornado Cash

(https://dune.com/misttrack/mixer-2023)

Tornado Cash est un protocole entièrement décentralisé, sans garde-fou, qui améliore la confidentialité des transactions en rompant le lien sur la chaîne entre les adresses de source et de destination. Pour protéger la vie privée, Tornado Cash utilise un contrat intelligent qui accepte les dépôts d'ETH et d'autres jetons à partir d'une adresse et leur permet de se retirer à une adresse différente, c'est-à-dire d'envoyer des ETH et d'autres jetons à n'importe quelle adresse d'une manière qui masque l'adresse d'envoi. .

En 2023, les utilisateurs ont déposé un total de 342 042 ETH (environ 614 millions de dollars) dans Tornado Cash, et ont retiré un total de 314 740 ETH (environ 567 millions de dollars) de Tornado Cash.

eXch

(https://dune.com/misttrack/mixer-2023)

En 2023, les utilisateurs ont déposé un total de 47 235 ETH (environ 90,14 millions de dollars) sur eXch, et un total de 25 508 148 stablecoins ERC20 (environ 25,5 millions de dollars) ont été déposés sur eXch.

Railgun

Railgun utilise la technologie cryptographique zk-SNARK pour rendre les transactions totalement invisibles. Railgun "protège" les jetons de l'utilisateur dans son système de confidentialité, de sorte que chaque transaction semble être envoyée à partir de l'adresse du contrat Railgun sur la blockchain.

Début 2023, le FBI a déclaré que le groupe de pirates informatiques nord-coréens Lazarus Group avait utilisé Railgun pour blanchir plus de 60 millions de dollars de fonds volés sur le pont Horizon d'Harmony.

Conclusion

Cet article présente les activités du groupe de pirates informatiques nord-coréen Lazarus Group en 2023. L'équipe de sécurité de SlowMist a surveillé en permanence ce groupe de pirates informatiques et a résumé et analysé leur dynamique et leurs méthodes de blanchiment d'argent afin de créer un profil du groupe. En 2023, les gangs de pêcheurs se sont multipliés, causant des pertes financières massives à l'industrie de la blockchain. Ces gangs opèrent de manière coordonnée et présentent un schéma d'attaques en "relais". Leurs attaques continues et à grande échelle posent des défis importants à la sécurité de l'industrie. Nous tenons à exprimer notre gratitude à la plateforme anti-fraude Web3, Scam Sniffer, pour avoir révélé l'existence du gang d'hameçonnage Wallet Drainers. Nous pensons que ces informations sont d'une grande importance pour comprendre leurs méthodes de travail et leur situation bénéficiaire. Enfin, nous vous présentons également les outils de blanchiment d'argent couramment utilisés par les pirates informatiques.

Téléchargez le rapport complet :

https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(EN).pdf

Clause de non-responsabilité：

1. Cet article est repris de[SlowMist Technology]. Tous les droits d'auteur appartiennent à l'auteur original[slow fogsecurity team]. Si vous avez des objections à cette réimpression, veuillez contacter l'équipe de Gate Learn, qui s'en chargera rapidement.
2. Clause de non-responsabilité : Les points de vue et les opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent pas un conseil en investissement.
3. Les traductions de l'article dans d'autres langues sont effectuées par l'équipe de Gate Learn. Sauf mention contraire, il est interdit de copier, distribuer ou plagier les articles traduits.