2023年のアップデート
2023年の公開情報によると、6月現在、北朝鮮のハッカー集団「ラザルス・グループ」による大規模な仮想通貨盗難事件は発生していません。 Lazarus Groupは、オンチェーン活動に基づいて、2022年6月23日のHarmonyクロスチェーンブリッジへの攻撃で失われた約1億ドルを含む、主に2022年から盗まれた暗号通貨資金を洗浄しました。
しかし、その後の事実により、Lazarus Groupは2022年から盗まれた暗号通貨の資金を洗浄するだけでなく、APT関連の攻撃活動に関与など、闇の中で活動していたことが明らかになっています。 これらの活動は、6月3日から始まる仮想通貨業界の「暗黒の101日」に直接つながりました。
「暗黒の101日間」では、合計5つのプラットフォームがハッキングされ、盗まれた総額は3億ドルを超え、主に中央集権的なサービスプラットフォームを標的にしました。
9月12日頃、SlowMistはパートナーとともに、ハッカーグループLazarus Groupによる暗号通貨業界を標的とした大規模なAPT攻撃を発見しました。 攻撃の手口は、まず、実在の人物による検証を行い、検証担当者を騙し、本物の顧客になりすますというものです。 その後、実際の入金を行います。 この顧客IDを隠れ蓑として、通信中にカスタムのMacまたはWindowsトロイの木馬を選択的に公式の担当者や顧客(攻撃者)に展開し、内部ネットワーク内を水平移動する権限を取得します。 彼らは資金を盗むという目標を達成するために長い間潜んでいます。
また、米国FBIは仮想通貨のエコシステムにおける大規模な盗難を懸念しており、北朝鮮のハッカーであるLazarus Groupによって操作されたとプレスリリースで公言しています。 以下は、2023年にFBIが発表した、北朝鮮のハッカー「Lazarus Group」に関するプレスリリースです。
1月23日、FBIは確認した(https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft) 北朝鮮のハッカーLazarus Groupは、Harmony Hack事件の責任を負うべきです。
8月22日、FBIは通知(https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk)を発行した北朝鮮のハッカー組織「Hacks involving Atomic Wallet」、「Alphapo」、「CoinsPayed」が合計1億9700万ドルの仮想通貨を盗んだと述べています。
9月6日、FBIはプレスリリース(https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk)を発表した 北朝鮮のハッカーであるLazarus Groupが、Stake.com 暗号通貨ギャンブルプラットフォームから4,100万ドルを盗んだ責任があることを確認しました。
マネーロンダリングの手口分析
私たちの分析によると、北朝鮮のハッカーLazarus Groupのマネーロンダリングの手口も、時間の経過とともに進化し続けています。 新しいマネーロンダリングの手口が時折登場します。 マネーロンダリングの手口変更のスケジュールは、以下のとおりです。
ギャングプロファイリング分析
InMistの諜報ネットワークパートナーの強力な諜報関連サポートに基づいて、SlowMist AMLチームは、これらの盗まれた事件とハッカーグループLazarus Groupに関連するデータを追跡および分析し、ハッカーグループLazarus Groupの部分的な肖像画を取得しました。
注:このセクションはScam Snifferによって書かれたものであり、感謝の意を表したいと思います。
概要
暗号通貨関連のマルウェアの一種であるWallet Drainersは、昨年、注目すべき「成功」を達成しました。 これらのソフトウェアプログラムは、フィッシングWebサイトに展開され、ユーザーをだまして悪意のあるトランザクションに署名させ、それによって暗号通貨ウォレットから資産を盗みます。 これらのフィッシング活動は、さまざまな形で一般ユーザーを継続的に標的とし、無意識のうちにこれらの悪意のある取引に署名した多くの人に多大な金銭的損失をもたらします。
盗まれた資金の統計
過去1年間で、Scam Snifferは、約324,000人の被害者から約2億9,500万ドルを盗んだWallet Drainersを検出しました。
トレンド
特に、3月11日には、主にUSDCの為替レートの変動とCircleになりすましたフィッシングサイトにより、約700万ドルが盗まれました。 また、3月24日頃には窃盗が大幅に急増し、ArbitrumのDiscordの侵害とその後のエアドロップイベントと一致しました。
窃盗のピークは、エアドロップやハッキング事件など、コミュニティ全体のイベントに関連しています
注目に値するウォレットドレイン
ZachXBTがMonkey Drainerを暴露した後、彼らは6ヶ月間活動した後、撤退を発表しました。 その後、ヴェノムは顧客のほとんどを乗っ取った。 その後、MS、インフェルノ、エンジェル、ピンクが3月頃に登場しました。 Venomが4月頃に活動を停止したため、ほとんどのフィッシンググループは他のサービスの利用に移行しました。 20%のDrainer手数料で、これらのサービスを販売することで少なくとも4,700万ドルを稼ぎました。
ウォレットドレインのトレンド
この傾向を分析すると、フィッシング活動が一貫して増加していることがわかります。 さらに、ドレインが終了するたびに、インフェルノが離脱を発表した後にエンジェルが代わりとして登場するなど、新しいドレインがドレインに取って代わります。
彼らはどのようにフィッシング活動を開始しますか?
これらのフィッシングWebサイトは、主にいくつかの方法でトラフィックを獲得します。
ハッカーの攻撃は広範囲に影響を及ぼしますが、コミュニティは多くの場合、通常は10〜50分以内に迅速に対応します。 対照的に、エアドロップ、オーガニックトラフィック、有料広告、期限切れのDiscordリンクの悪用はあまり目立ちません。
一般的なフィッシングシグネチャ
資産の種類が異なれば、悪意のあるフィッシングシグネチャを開始する方法も異なります。 上記は、さまざまな種類のアセットに対する一般的なフィッシング署名方法です。 Drainersは、被害者のウォレットが保持している資産の種類に基づいて、どのような悪意のあるフィッシング署名を開始するかを決定します。
例えば、GMXのsignalTransferを悪用してReward LPトークンを盗んだケースから、フィッシング手法が非常に洗練され、特定の資産に合わせて調整されていることは明らかです。
スマートコントラクトの利用拡大
1)マルチコール
Inferno以降、コントラクトテクノロジーの使用に注目が集まっています。 たとえば、取引手数料の分割に 2 つの個別のトランザクションが必要な場合、プロセスの速度が十分でない可能性があります。 これにより、被害者は2回目の転送の前に承認を取り消すことができます。 効率を高めるために、より効果的な資産移転のためにマルチコールの使用を開始しました。
2)CREATE2 & 作成
ウォレットのセキュリティチェックを迂回するために、一時アドレスを動的に生成するcreate2やcreateの実験も開始しました。 このアプローチでは、ウォレットベースのブラックリストが無効になり、フィッシング活動の調査が複雑になります。 署名しなければ資産がどこに移転されるかを知ることができず、一時的な住所はあまり分析的価値を提供しないため、これは大きな課題となります。 これは、昨年と比較して大きな変化を示しています。
フィッシング Web サイト
フィッシングサイトの数を分析すると、フィッシング活動が毎月着実に増加しており、安定したウォレットドレインサービスの可用性と密接に関連していることが明らかになりました。
これらのフィッシングWebサイトで使用されるドメインは、主に特定のドメインレジストラに登録されています。 サーバーアドレスを分析すると、ほとんどがCloudflareを使用して実際のサーバーの場所を隠していることがわかります。
シンドバッドは、2022年10月5日に設立されたビットコインミキサーです。 ブロックチェーン上の資金の流れを隠すために、取引の詳細を隠します。
米国財務省は、シンドバッドを「OFACが指定した北朝鮮のハッキンググループLazarusの主要なマネーロンダリングツールである仮想通貨ミキサー」と説明しています。 シンドバッドは、ホライゾンブリッジとアクシーインフィニティのハッキング事件の資金を処理し、「制裁回避、麻薬密売、児童の性的搾取に関連する資料の購入、およびダークウェブ市場でのその他の違法な販売への関与」などの活動に関連する資金も送金しました。
Alphapoハッカー(Lazarus Group)は、次のような取引に見られるように、マネーロンダリングプロセスでSinbadを使用しました。
(https://oxt.me/transaction/2929e9d0055a431e1879b996d0d6f70aa607bb123d12bfad42e1f507d1d200a5)
(https://dune.com/misttrack/mixer-2023)
Tornado Cashは、完全に分散化されたノンカストディアルプロトコルであり、送信元アドレスと宛先アドレス間のオンチェーンリンクを切断することにより、トランザクションのプライバシーを向上させます。 プライバシーを保護するために、Tornado Cashは、あるアドレスからETHやその他のトークンの入金を受け入れ、別のアドレスに引き出すことができるスマートコントラクトを使用しています。.
2023年、ユーザーは合計342,042ETH(約6億1,400万ドル)をTornado Cashに入金し、Tornado Cashから合計314,740ETH(約5億6,700万ドル)を引き出しました。
(https://dune.com/misttrack/mixer-2023)
2023年、ユーザーは合計47,235ETH(約9,014万ドル)をeXchに預け、合計25,508,148枚のERC20ステーブルコイン(約2,550万ドル)をeXchに預けました。
Railgunは、zk-SNARKs暗号化技術を使用して、トランザクションを完全に非表示にします。 Railgunは、プライバシーシステム内でユーザーのトークンを「シールド」するため、各トランザクションはブロックチェーン上のRailgunコントラクトアドレスから送信されているように見えます。
2023年初頭、FBIは、北朝鮮のハッカー集団Lazarus GroupがRailgunを使用して、HarmonyのHorizon Bridgeから盗んだ6,000万ドル以上の資金を洗浄したと発表しました。
本記事では、2023年の北朝鮮のハッカー集団「Lazarus Group」の活動について紹介します。 SlowMistのセキュリティチームは、このハッカーグループを継続的に監視し、彼らのダイナミクスとマネーロンダリングの手法を要約および分析して、グループのプロファイルを作成しました。 2023年、漁業ギャングが横行し、ブロックチェーン業界に莫大な経済的損失をもたらしています。 これらのギャングは協調的に活動し、攻撃の「リレー」パターンを提示します。 彼らの継続的かつ大規模な攻撃は、業界のセキュリティに重大な課題をもたらします。 Web3詐欺防止プラットフォームであるScam Snifferが、フィッシングギャングであるWallet Drainersを開示してくれたことに感謝の意を表します。 これらの情報は、彼らの働き方や収益状況を把握する上で非常に重要であると考えています。 最後に、ハッカーが一般的に使用するマネーロンダリングツールについても紹介します。
レポート全文をダウンロード:
https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(JA).pdf
2023年のアップデート
2023年の公開情報によると、6月現在、北朝鮮のハッカー集団「ラザルス・グループ」による大規模な仮想通貨盗難事件は発生していません。 Lazarus Groupは、オンチェーン活動に基づいて、2022年6月23日のHarmonyクロスチェーンブリッジへの攻撃で失われた約1億ドルを含む、主に2022年から盗まれた暗号通貨資金を洗浄しました。
しかし、その後の事実により、Lazarus Groupは2022年から盗まれた暗号通貨の資金を洗浄するだけでなく、APT関連の攻撃活動に関与など、闇の中で活動していたことが明らかになっています。 これらの活動は、6月3日から始まる仮想通貨業界の「暗黒の101日」に直接つながりました。
「暗黒の101日間」では、合計5つのプラットフォームがハッキングされ、盗まれた総額は3億ドルを超え、主に中央集権的なサービスプラットフォームを標的にしました。
9月12日頃、SlowMistはパートナーとともに、ハッカーグループLazarus Groupによる暗号通貨業界を標的とした大規模なAPT攻撃を発見しました。 攻撃の手口は、まず、実在の人物による検証を行い、検証担当者を騙し、本物の顧客になりすますというものです。 その後、実際の入金を行います。 この顧客IDを隠れ蓑として、通信中にカスタムのMacまたはWindowsトロイの木馬を選択的に公式の担当者や顧客(攻撃者)に展開し、内部ネットワーク内を水平移動する権限を取得します。 彼らは資金を盗むという目標を達成するために長い間潜んでいます。
また、米国FBIは仮想通貨のエコシステムにおける大規模な盗難を懸念しており、北朝鮮のハッカーであるLazarus Groupによって操作されたとプレスリリースで公言しています。 以下は、2023年にFBIが発表した、北朝鮮のハッカー「Lazarus Group」に関するプレスリリースです。
1月23日、FBIは確認した(https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft) 北朝鮮のハッカーLazarus Groupは、Harmony Hack事件の責任を負うべきです。
8月22日、FBIは通知(https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk)を発行した北朝鮮のハッカー組織「Hacks involving Atomic Wallet」、「Alphapo」、「CoinsPayed」が合計1億9700万ドルの仮想通貨を盗んだと述べています。
9月6日、FBIはプレスリリース(https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk)を発表した 北朝鮮のハッカーであるLazarus Groupが、Stake.com 暗号通貨ギャンブルプラットフォームから4,100万ドルを盗んだ責任があることを確認しました。
マネーロンダリングの手口分析
私たちの分析によると、北朝鮮のハッカーLazarus Groupのマネーロンダリングの手口も、時間の経過とともに進化し続けています。 新しいマネーロンダリングの手口が時折登場します。 マネーロンダリングの手口変更のスケジュールは、以下のとおりです。
ギャングプロファイリング分析
InMistの諜報ネットワークパートナーの強力な諜報関連サポートに基づいて、SlowMist AMLチームは、これらの盗まれた事件とハッカーグループLazarus Groupに関連するデータを追跡および分析し、ハッカーグループLazarus Groupの部分的な肖像画を取得しました。
注:このセクションはScam Snifferによって書かれたものであり、感謝の意を表したいと思います。
概要
暗号通貨関連のマルウェアの一種であるWallet Drainersは、昨年、注目すべき「成功」を達成しました。 これらのソフトウェアプログラムは、フィッシングWebサイトに展開され、ユーザーをだまして悪意のあるトランザクションに署名させ、それによって暗号通貨ウォレットから資産を盗みます。 これらのフィッシング活動は、さまざまな形で一般ユーザーを継続的に標的とし、無意識のうちにこれらの悪意のある取引に署名した多くの人に多大な金銭的損失をもたらします。
盗まれた資金の統計
過去1年間で、Scam Snifferは、約324,000人の被害者から約2億9,500万ドルを盗んだWallet Drainersを検出しました。
トレンド
特に、3月11日には、主にUSDCの為替レートの変動とCircleになりすましたフィッシングサイトにより、約700万ドルが盗まれました。 また、3月24日頃には窃盗が大幅に急増し、ArbitrumのDiscordの侵害とその後のエアドロップイベントと一致しました。
窃盗のピークは、エアドロップやハッキング事件など、コミュニティ全体のイベントに関連しています
注目に値するウォレットドレイン
ZachXBTがMonkey Drainerを暴露した後、彼らは6ヶ月間活動した後、撤退を発表しました。 その後、ヴェノムは顧客のほとんどを乗っ取った。 その後、MS、インフェルノ、エンジェル、ピンクが3月頃に登場しました。 Venomが4月頃に活動を停止したため、ほとんどのフィッシンググループは他のサービスの利用に移行しました。 20%のDrainer手数料で、これらのサービスを販売することで少なくとも4,700万ドルを稼ぎました。
ウォレットドレインのトレンド
この傾向を分析すると、フィッシング活動が一貫して増加していることがわかります。 さらに、ドレインが終了するたびに、インフェルノが離脱を発表した後にエンジェルが代わりとして登場するなど、新しいドレインがドレインに取って代わります。
彼らはどのようにフィッシング活動を開始しますか?
これらのフィッシングWebサイトは、主にいくつかの方法でトラフィックを獲得します。
ハッカーの攻撃は広範囲に影響を及ぼしますが、コミュニティは多くの場合、通常は10〜50分以内に迅速に対応します。 対照的に、エアドロップ、オーガニックトラフィック、有料広告、期限切れのDiscordリンクの悪用はあまり目立ちません。
一般的なフィッシングシグネチャ
資産の種類が異なれば、悪意のあるフィッシングシグネチャを開始する方法も異なります。 上記は、さまざまな種類のアセットに対する一般的なフィッシング署名方法です。 Drainersは、被害者のウォレットが保持している資産の種類に基づいて、どのような悪意のあるフィッシング署名を開始するかを決定します。
例えば、GMXのsignalTransferを悪用してReward LPトークンを盗んだケースから、フィッシング手法が非常に洗練され、特定の資産に合わせて調整されていることは明らかです。
スマートコントラクトの利用拡大
1)マルチコール
Inferno以降、コントラクトテクノロジーの使用に注目が集まっています。 たとえば、取引手数料の分割に 2 つの個別のトランザクションが必要な場合、プロセスの速度が十分でない可能性があります。 これにより、被害者は2回目の転送の前に承認を取り消すことができます。 効率を高めるために、より効果的な資産移転のためにマルチコールの使用を開始しました。
2)CREATE2 & 作成
ウォレットのセキュリティチェックを迂回するために、一時アドレスを動的に生成するcreate2やcreateの実験も開始しました。 このアプローチでは、ウォレットベースのブラックリストが無効になり、フィッシング活動の調査が複雑になります。 署名しなければ資産がどこに移転されるかを知ることができず、一時的な住所はあまり分析的価値を提供しないため、これは大きな課題となります。 これは、昨年と比較して大きな変化を示しています。
フィッシング Web サイト
フィッシングサイトの数を分析すると、フィッシング活動が毎月着実に増加しており、安定したウォレットドレインサービスの可用性と密接に関連していることが明らかになりました。
これらのフィッシングWebサイトで使用されるドメインは、主に特定のドメインレジストラに登録されています。 サーバーアドレスを分析すると、ほとんどがCloudflareを使用して実際のサーバーの場所を隠していることがわかります。
シンドバッドは、2022年10月5日に設立されたビットコインミキサーです。 ブロックチェーン上の資金の流れを隠すために、取引の詳細を隠します。
米国財務省は、シンドバッドを「OFACが指定した北朝鮮のハッキンググループLazarusの主要なマネーロンダリングツールである仮想通貨ミキサー」と説明しています。 シンドバッドは、ホライゾンブリッジとアクシーインフィニティのハッキング事件の資金を処理し、「制裁回避、麻薬密売、児童の性的搾取に関連する資料の購入、およびダークウェブ市場でのその他の違法な販売への関与」などの活動に関連する資金も送金しました。
Alphapoハッカー(Lazarus Group)は、次のような取引に見られるように、マネーロンダリングプロセスでSinbadを使用しました。
(https://oxt.me/transaction/2929e9d0055a431e1879b996d0d6f70aa607bb123d12bfad42e1f507d1d200a5)
(https://dune.com/misttrack/mixer-2023)
Tornado Cashは、完全に分散化されたノンカストディアルプロトコルであり、送信元アドレスと宛先アドレス間のオンチェーンリンクを切断することにより、トランザクションのプライバシーを向上させます。 プライバシーを保護するために、Tornado Cashは、あるアドレスからETHやその他のトークンの入金を受け入れ、別のアドレスに引き出すことができるスマートコントラクトを使用しています。.
2023年、ユーザーは合計342,042ETH(約6億1,400万ドル)をTornado Cashに入金し、Tornado Cashから合計314,740ETH(約5億6,700万ドル)を引き出しました。
(https://dune.com/misttrack/mixer-2023)
2023年、ユーザーは合計47,235ETH(約9,014万ドル)をeXchに預け、合計25,508,148枚のERC20ステーブルコイン(約2,550万ドル)をeXchに預けました。
Railgunは、zk-SNARKs暗号化技術を使用して、トランザクションを完全に非表示にします。 Railgunは、プライバシーシステム内でユーザーのトークンを「シールド」するため、各トランザクションはブロックチェーン上のRailgunコントラクトアドレスから送信されているように見えます。
2023年初頭、FBIは、北朝鮮のハッカー集団Lazarus GroupがRailgunを使用して、HarmonyのHorizon Bridgeから盗んだ6,000万ドル以上の資金を洗浄したと発表しました。
本記事では、2023年の北朝鮮のハッカー集団「Lazarus Group」の活動について紹介します。 SlowMistのセキュリティチームは、このハッカーグループを継続的に監視し、彼らのダイナミクスとマネーロンダリングの手法を要約および分析して、グループのプロファイルを作成しました。 2023年、漁業ギャングが横行し、ブロックチェーン業界に莫大な経済的損失をもたらしています。 これらのギャングは協調的に活動し、攻撃の「リレー」パターンを提示します。 彼らの継続的かつ大規模な攻撃は、業界のセキュリティに重大な課題をもたらします。 Web3詐欺防止プラットフォームであるScam Snifferが、フィッシングギャングであるWallet Drainersを開示してくれたことに感謝の意を表します。 これらの情報は、彼らの働き方や収益状況を把握する上で非常に重要であると考えています。 最後に、ハッカーが一般的に使用するマネーロンダリングツールについても紹介します。
レポート全文をダウンロード:
https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(JA).pdf