朝鮮黑客組織Lazarus Group攻擊手法及洗錢方式分析

近期一份聯合國機密報告揭示，某黑客團夥在去年從一家加密貨幣交易所竊取資金後，於今年3月通過某虛擬貨幣平台洗錢1.475億美元。

據悉，監察員正在調查2017年至2024年間發生的97起疑似針對加密貨幣公司的網路攻擊，涉及金額約36億美元。其中包括去年年底某加密貨幣交易所被盜1.475億美元的事件，這筆資金隨後在今年3月完成了洗錢過程。

2022年，美國對一個混幣平台實施了制裁。次年，該平台兩名聯合創始人被指控協助洗錢超過10億美元，其中涉及與朝鮮有關的網路犯罪組織。

一位加密貨幣分析師的調查顯示，這個黑客組織在2020年8月至2023年10月期間，將價值2億美元的加密貨幣洗白爲法定貨幣。

該黑客組織長期以來一直被指控進行大規模的網路攻擊和金融犯罪。他們的目標遍布全球，從銀行系統到加密貨幣交易所，從政府機構到私人企業。以下將分析幾個典型的攻擊案例，揭示這個黑客組織如何通過復雜的策略和技術手段實施這些驚人的攻擊。

社會工程和網絡釣魚攻擊

據歐洲媒體報道，該組織曾將歐洲和中東的軍事和航空航天公司作爲目標。他們在社交平台上發布招聘廣告欺騙員工，要求求職者下載包含可執行文件的PDF，從而實施釣魚攻擊。

這種攻擊方式試圖利用心理操縱，誘騙受害者放松警惕，執行點擊連結或下載文件等行爲，從而危及系統安全。黑客通過惡意軟件瞄準受害者系統中的漏洞並竊取敏感信息。

在針對某加密貨幣支付提供商的爲期六個月的行動中，該組織使用了類似的方法，導致該公司被盜3700萬美元。他們向工程師發送虛假的工作機會，發起分布式拒絕服務等技術攻擊，並嘗試暴力破解密碼。

多起加密貨幣交易所攻擊事件

2020年8月至10月，多家加密貨幣交易所和項目遭受攻擊：

• 8月24日，某加拿大加密貨幣交易所錢包被盜。
• 9月11日，某項目因私鑰泄露，導致團隊控制的多個錢包發生40萬美元未經授權的轉帳。
• 10月6日，某交易平台熱錢包因安全漏洞被轉移75萬美元加密資產。

這些被盜資金在2021年初匯集到同一地址，隨後通過混幣平台進行多次轉移和混淆。到2023年，攻擊者將資金發送至某些特定的提現地址。

某互助保險平台創始人遭黑客攻擊

2020年12月14日，某互助保險平台創始人個人帳戶被盜37萬平台代幣，價值約830萬美元。

黑客通過多個地址轉移和兌換被盜資金。部分資金跨鏈到比特幣網路，再跨回以太坊網路，之後通過混幣平台進行混淆，最終發送至提現平台。

2021年5月至7月，攻擊者將1100萬USDT轉入某交易平台。2023年2月至6月，又分批將超過1100萬USDT發送到兩個不同的提現地址。

近期DeFi項目攻擊事件

2023年8月，兩個DeFi項目遭受攻擊，共計約1500枚ETH被盜。黑客將這些ETH轉移到混幣平台，隨後提取到幾個中轉地址。

2023年10月12日，這些資金被集中到一個新地址。到11月，該地址開始轉移資金，最終通過中轉和兌換，將資金發送到特定的提現地址。

總結

該黑客組織在盜取加密資產後，主要通過跨鏈操作和使用混幣器進行資金混淆。混淆後，他們將被盜資產提取到目標地址，並發送到固定的地址羣進行提現操作。被盜的加密資產通常存入特定的提現地址，然後通過場外交易服務兌換爲法幣。

面對這種持續、大規模的攻擊，Web3行業面臨着嚴峻的安全挑戰。相關機構正在持續關注該黑客團夥的動態和洗錢方式，以協助項目方、監管與執法部門打擊此類犯罪，追回被盜資產。