รายงานการวิเคราะห์การตีความแฮกเกอร์ชาวเกาหลีเหนือ กลุ่มฟิชชิ่ง และเครื่องมือฟอกเงิน
กลุ่มลาซารัส
อัปเดตในปี 2023
ตามข้อมูลสาธารณะในปี 2023 ณ เดือนมิถุนายน ไม่มีคดีขโมยสกุลเงินดิจิทัลที่สำคัญๆ ที่เกี่ยวข้องกับกลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือ Lazarus Group จากกิจกรรมออนไลน์ Lazarus Group ฟอกเงินสกุลเงินดิจิทัลที่ถูกขโมยไปเป็นหลักตั้งแต่ปี 2565 ซึ่งรวมถึงเงินที่สูญเสียไปประมาณ 100 ล้านดอลลาร์จากการโจมตีสะพานข้ามเครือข่าย Harmony เมื่อวันที่ 23 มิถุนายน 2565
อย่างไรก็ตาม ข้อเท็จจริงที่ตามมาแสดงให้เห็นว่า Lazarus Group นอกเหนือจากการฟอกเงินสกุลเงินดิจิทัลที่ถูกขโมยไปตั้งแต่ปี 2022 แล้ว ยังมีบทบาทในความมืดมิด โดยมีส่วนร่วมในกิจกรรมการโจมตีที่เกี่ยวข้องกับ APT กิจกรรมเหล่านี้นำไปสู่ “Dark 101 Days” โดยตรงในอุตสาหกรรมสกุลเงินดิจิทัล เริ่มตั้งแต่วันที่ 3 มิถุนายน
ในช่วง “Dark 101 Days” มีแพลตฟอร์มทั้งหมด 5 แพลตฟอร์มที่ถูกแฮ็ก โดยมีมูลค่ารวมกว่า 300 ล้านดอลลาร์ โดยมีเป้าหมายหลักคือแพลตฟอร์มบริการแบบรวมศูนย์
ประมาณวันที่ 12 กันยายน SlowMist ร่วมกับพันธมิตร ค้นพบการโจมตี APT ขนาดใหญ่ที่กำหนดเป้าหมายไปที่อุตสาหกรรมสกุลเงินดิจิทัลโดยกลุ่มแฮ็กเกอร์ Lazarus Group วิธีการโจมตีมีดังนี้ ประการแรก พวกเขามีส่วนร่วมในการหลอกลวงข้อมูลประจำตัวโดยใช้การยืนยันตัวตนจริงเพื่อหลอกลวงเจ้าหน้าที่ตรวจสอบและกลายเป็นลูกค้าจริง จากนั้นพวกเขาก็ทำการฝากเงินจริง ด้วยการระบุตัวตนของลูกค้าเป็นการปกปิด พวกเขาจึงเลือกใช้โทรจัน Mac หรือ Windows แบบกำหนดเองให้กับเจ้าหน้าที่และลูกค้าอย่างเป็นทางการ (ผู้โจมตี) ในระหว่างการสื่อสาร โดยได้รับสิทธิ์ในการย้ายด้านข้างภายในเครือข่ายภายใน พวกเขาแฝงตัวอยู่เป็นเวลานานเพื่อบรรลุเป้าหมายในการขโมยเงิน
FBI ของสหรัฐฯ ยังกังวลเกี่ยวกับการโจรกรรมครั้งใหญ่ในระบบนิเวศของสกุลเงินดิจิทัล และระบุต่อสาธารณะในข่าวประชาสัมพันธ์ว่าถูกจัดการโดยแฮกเกอร์ชาวเกาหลีเหนือ Lazarus Group ต่อไปนี้เป็นข่าวประชาสัมพันธ์ที่เกี่ยวข้องจาก FBI ในปี 2023 เกี่ยวกับ Lazarus Group แฮ็กเกอร์ชาวเกาหลีเหนือ:
เมื่อวันที่ 23 มกราคม FBI ยืนยัน (https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft) แฮกเกอร์ชาวเกาหลีเหนือ Lazarus Group ควรรับผิดชอบต่อเหตุการณ์ Harmony Hack
เมื่อวันที่ 22 สิงหาคม FBI ได้ออกประกาศ (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) โดยระบุว่าองค์กรแฮ็กเกอร์ชาวเกาหลีเหนือ Hacks ที่เกี่ยวข้องกับ Atomic Wallet, Alphapo และ CoinsPaid ขโมยเงินดิจิทัลไปทั้งหมด 197 ล้านดอลลาร์
เมื่อวันที่ 6 กันยายน FBI ได้ออกแถลงการณ์ (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) ยืนยันว่าแฮกเกอร์ชาวเกาหลีเหนือ Lazarus Group เป็นผู้รับผิดชอบต่อการขโมยเงิน 41 ล้านดอลลาร์จากแพลตฟอร์มการพนันสกุลเงินดิจิตอล Stake.com
การวิเคราะห์วิธีการฟอกเงิน
จากการวิเคราะห์ของเรา วิธีการฟอกเงินของแฮ็กเกอร์ชาวเกาหลีเหนือ Lazarus Group ก็มีการพัฒนาอย่างต่อเนื่องเช่นกัน วิธีการฟอกเงินแบบใหม่จะปรากฏขึ้นเป็นระยะๆ ตารางเวลาสำหรับการเปลี่ยนแปลงวิธีการฟอกเงินมีดังนี้:
การวิเคราะห์โปรไฟล์แก๊งค์
จากการสนับสนุนอันแข็งแกร่งที่เกี่ยวข้องกับข่าวกรองของพันธมิตรเครือข่ายข่าวกรอง InMist ทีม SlowMist AML ติดตามและวิเคราะห์ข้อมูลที่เกี่ยวข้องกับเหตุการณ์ที่ถูกขโมยเหล่านี้และกลุ่มแฮ็กเกอร์ Lazarus Group จากนั้นจึงได้รับภาพบางส่วนของกลุ่มแฮ็กเกอร์ Lazarus Group:
- มักใช้อัตลักษณ์ของยุโรปหรือตุรกีเป็นการปลอมตัว
- ได้รับข้อมูล IP หลายสิบข้อมูลที่อยู่อีเมลจำนวนมาก และข้อมูลประจำตัวที่ไม่ละเอียดอ่อนบางส่วนได้รับ:
- 111...49
- 103...162
- 103...205
- 210...9
- 103...29
- 103...163
- 154...10
- 185...217
ที่ระบายกระเป๋าสตางค์
หมายเหตุ: ส่วนนี้เขียนโดย Scam Sniffer ซึ่งฉันอยากจะแสดงความขอบคุณ
ดูตัวอย่าง
Wallet Drainers ซึ่งเป็นมัลแวร์ประเภทหนึ่งที่เกี่ยวข้องกับสกุลเงินดิจิทัล ประสบความสำเร็จอย่างโดดเด่นในปีที่ผ่านมา โปรแกรมซอฟต์แวร์เหล่านี้ถูกใช้งานบนเว็บไซต์ฟิชชิ่งเพื่อหลอกลวงผู้ใช้ให้ลงนามในธุรกรรมที่เป็นอันตราย และขโมยทรัพย์สินจากกระเป๋าเงินดิจิตอลของพวกเขา กิจกรรมฟิชชิ่งเหล่านี้มุ่งเป้าไปที่ผู้ใช้ทั่วไปในรูปแบบต่างๆ อย่างต่อเนื่อง ซึ่งนำไปสู่ความสูญเสียทางการเงินที่สำคัญสำหรับหลายๆ คนที่ลงนามในธุรกรรมที่เป็นอันตรายเหล่านี้โดยไม่รู้ตัว
สถิติกองทุนที่ถูกขโมย
ในปีที่ผ่านมา Scam Sniffer ตรวจพบ Wallet Drainers ที่ขโมยเงินเกือบ 295 ล้านดอลลาร์จากเหยื่อประมาณ 324,000 ราย
เทรนด์
โดยเฉพาะอย่างยิ่งในวันที่ 11 มีนาคม มีการขโมยเงินเกือบ 7 ล้านเหรียญสหรัฐ สาเหตุหลักมาจากความผันผวนของอัตราแลกเปลี่ยน USDC และไซต์ฟิชชิ่งที่แอบอ้างเป็น Circle นอกจากนี้ยังมีการโจรกรรมเพิ่มขึ้นอย่างมากในช่วงวันที่ 24 มีนาคม ซึ่งสอดคล้องกับการประนีประนอมของ Arbitrum's Discord และเหตุการณ์ส่งทางอากาศที่ตามมา
การโจรกรรมสูงสุดแต่ละครั้งมีความเกี่ยวข้องกับเหตุการณ์ทั่วทั้งชุมชน ซึ่งอาจเป็นการแพร่ทางอากาศหรือการแฮ็ก
ตัวระบายกระเป๋าสตางค์ที่น่าสังเกต
หลังจากที่ ZachXBT เปิดเผย Monkey Drainer พวกเขาก็ได้ประกาศออกจากระบบหลังจากเปิดใช้งานมาเป็นเวลา 6 เดือน จากนั้น Venom ก็เข้ายึดครองลูกค้าส่วนใหญ่ของพวกเขา ต่อมา MS, Inferno, Angel และ Pink ก็ปรากฏตัวขึ้นประมาณเดือนมีนาคม เมื่อ Venom หยุดดำเนินการประมาณเดือนเมษายน กลุ่มฟิชชิ่งส่วนใหญ่จึงเปลี่ยนมาใช้บริการอื่น ด้วยค่าธรรมเนียม Drainer 20% พวกเขาสร้างรายได้อย่างน้อย 47 ล้านดอลลาร์จากการขายบริการเหล่านี้
เทรนด์การระบายกระเป๋าสตางค์
การวิเคราะห์แนวโน้มแสดงให้เห็นว่ากิจกรรมฟิชชิ่งมีการเติบโตอย่างต่อเนื่อง ยิ่งไปกว่านั้น ในแต่ละครั้งที่ Drainer ออกไป จะมีอันใหม่เข้ามาแทนที่ เช่น Angel ที่โผล่ออกมาแทนที่หลังจากที่ Inferno ประกาศการจากไป
พวกเขาเริ่มกิจกรรมฟิชชิ่งได้อย่างไร?
เว็บไซต์ฟิชชิ่งเหล่านี้ส่วนใหญ่ได้รับการเข้าชมผ่านหลายวิธี:
- การโจมตีของแฮ็กเกอร์:
- บัญชี Discord และ Twitter ของโครงการอย่างเป็นทางการถูกแฮ็ก
- การโจมตีส่วนหน้าของโครงการอย่างเป็นทางการหรือไลบรารีที่พวกเขาใช้
- การเข้าชมแบบออร์แกนิก
- การทิ้ง NFT หรือโทเค็น
- การใช้ประโยชน์จากลิงก์ Discord ที่หมดอายุ
- การแจ้งเตือนสแปมและความคิดเห็นบน Twitter
- การเข้าชมที่เสียค่าใช้จ่าย
- ค้นหาโฆษณาของ Google
- โฆษณาทวิตเตอร์
แม้ว่าการโจมตีของแฮ็กเกอร์จะส่งผลกระทบในวงกว้าง แต่ชุมชนก็มักจะตอบสนองอย่างรวดเร็ว โดยทั่วไปภายใน 10-50 นาที ในทางตรงกันข้าม การแอร์ดรอป การเข้าชมแบบออร์แกนิก การโฆษณาแบบเสียค่าใช้จ่าย และการหาประโยชน์จากลิงก์ Discord ที่หมดอายุจะสังเกตเห็นได้น้อยลง
ลายเซ็นฟิชชิ่งทั่วไป
เนื้อหาประเภทต่างๆ มีวิธีที่แตกต่างกันในการเริ่มต้นลายเซ็นฟิชชิ่งที่เป็นอันตราย ข้างต้นคือวิธีการลายเซ็นฟิชชิ่งทั่วไปสำหรับเนื้อหาประเภทต่างๆ Drainers จะเป็นผู้ตัดสินใจว่าจะเริ่มลายเซ็นฟิชชิ่งที่เป็นอันตรายประเภทใด โดยพิจารณาจากประเภทของทรัพย์สินที่กระเป๋าเงินของเหยื่อถืออยู่
ตัวอย่างเช่น จากกรณีของการใช้ประโยชน์จาก signalTransfer ของ GMX เพื่อขโมยโทเค็น Reward LP เห็นได้ชัดว่าเทคนิคฟิชชิ่งมีความซับซ้อนสูงและได้รับการปรับแต่งสำหรับสินทรัพย์เฉพาะ
เพิ่มการใช้สัญญาอัจฉริยะ
1) มัลติคอล
เริ่มตั้งแต่ Inferno มีการมุ่งเน้นที่การใช้เทคโนโลยีสัญญาเพิ่มมากขึ้น ตัวอย่างเช่น ในกรณีที่ค่าธรรมเนียมการทำธุรกรรมแยกต้องใช้สองธุรกรรมแยกกัน กระบวนการอาจไม่เร็วพอ สิ่งนี้อาจทำให้เหยื่อเพิกถอนการอนุญาตก่อนการโอนครั้งที่สอง เพื่อเพิ่มประสิทธิภาพ พวกเขาเริ่มใช้ multicall เพื่อการโอนสินทรัพย์ที่มีประสิทธิภาพมากขึ้น
2) สร้าง 2 และสร้าง
เพื่อเลี่ยงการตรวจสอบความปลอดภัยของกระเป๋าเงิน พวกเขายังได้เริ่มทดลองใช้ create2 หรือสร้างเพื่อสร้างที่อยู่ชั่วคราวแบบไดนามิก แนวทางนี้ทำให้บัญชีดำที่ใช้กระเป๋าสตางค์ไม่ได้ผล และทำให้การวิจัยเกี่ยวกับกิจกรรมฟิชชิ่งมีความซับซ้อน เนื่องจากคุณไม่สามารถทราบได้ว่าสินทรัพย์จะถูกโอนไปที่ใดโดยไม่ต้องลงนาม และที่อยู่ชั่วคราวไม่ได้ให้คุณค่าในการวิเคราะห์มากนัก นี่จึงเป็นความท้าทายที่สำคัญ นี่เป็นการเปลี่ยนแปลงที่สำคัญเมื่อเทียบกับปีที่แล้ว
เว็บไซต์ฟิชชิ่ง
การวิเคราะห์จำนวนเว็บไซต์ฟิชชิ่งเผยให้เห็นกิจกรรมฟิชชิ่งที่เพิ่มขึ้นอย่างต่อเนื่องทุกเดือน ซึ่งเชื่อมโยงอย่างใกล้ชิดกับความพร้อมใช้งานของบริการดูดกระเป๋าสตางค์ที่มีเสถียรภาพ
โดเมนที่ใช้โดยเว็บไซต์ฟิชชิ่งเหล่านี้ส่วนใหญ่จะลงทะเบียนกับผู้รับจดทะเบียนโดเมนเฉพาะ การวิเคราะห์ที่อยู่เซิร์ฟเวอร์แสดงให้เห็นว่าส่วนใหญ่ใช้ Cloudflare เพื่อซ่อนตำแหน่งเซิร์ฟเวอร์จริง
เครื่องมือฟอกเงิน
ซินแบด
Sinbad เป็นเครื่องผสม Bitcoin ที่ก่อตั้งขึ้นเมื่อวันที่ 5 ตุลาคม 2022 ปิดบังรายละเอียดธุรกรรมเพื่อซ่อนการไหลของเงินทุนในบล็อคเชน
กระทรวงการคลังของสหรัฐอเมริกา อธิบายว่า Sinbad เป็น "เครื่องมือผสมสกุลเงินเสมือน ซึ่งเป็นเครื่องมือหลักในการฟอกเงินสำหรับกลุ่มแฮ็กชาวเกาหลีเหนือ Lazarus ซึ่งกำหนดโดย OFAC" Sinbad จัดการเงินทุนจากเหตุการณ์แฮ็ค Horizon Bridge และ Axie Infinity และยังโอนเงินที่เกี่ยวข้องกับกิจกรรมต่างๆ เช่น “การหลบเลี่ยงการคว่ำบาตร การค้ายาเสพติด การจัดซื้อวัสดุที่เกี่ยวข้องกับการแสวงหาประโยชน์ทางเพศจากเด็ก และการมีส่วนร่วมในการขายที่ผิดกฎหมายอื่น ๆ ในตลาดเว็บมืด ”
แฮกเกอร์ Alphapo (Lazarus Group) ใช้ Sinbad ในกระบวนการฟอกเงิน ดังที่เห็นในธุรกรรมเช่น:
(https://oxt.me/transaction/2929e9d0055a431e1879b996d0d6f70aa607bb123d12bfad42e1f507d1d200a5)
เงินสดทอร์นาโด
(https://dune.com/misttrack/mixer-2023)
Tornado Cash เป็นโปรโตคอลที่ไม่มีการกระจายอำนาจอย่างสมบูรณ์ ซึ่งปรับปรุงความเป็นส่วนตัวของธุรกรรมโดยการทำลายลิงก์ออนไลน์ระหว่างที่อยู่ต้นทางและปลายทาง เพื่อปกป้องความเป็นส่วนตัว Tornado Cash ใช้สัญญาอัจฉริยะที่รับ ETH และการฝากโทเค็นอื่น ๆ จากที่อยู่หนึ่ง และอนุญาตให้ถอนไปยังที่อยู่อื่น เช่น การส่ง ETH และโทเค็นอื่น ๆ ไปยังที่อยู่ใด ๆ ในลักษณะที่ซ่อนที่อยู่การส่ง .
ในปี 2023 ผู้ใช้ฝากเงินจำนวน 342,042 ETH (ประมาณ 614 ล้านดอลลาร์) ลงใน Tornado Cash และถอนออกทั้งหมด 314,740 ETH (ประมาณ 567 ล้านดอลลาร์) จาก Tornado Cash
eXch
(https://dune.com/misttrack/mixer-2023)
ในปี 2023 ผู้ใช้ฝากเงินจำนวน 47,235 ETH (ประมาณ $90.14 ล้าน) ให้กับ eXch และยอดคงเหลือ ERC20 จำนวน 25,508,148 ERC20 (ประมาณ $25.5 ล้าน) ถูกฝากไปที่ eXch
เรลกัน
Railgun ใช้เทคโนโลยีการเข้ารหัส zk-SNARKs เพื่อทำให้ธุรกรรมมองไม่เห็นโดยสิ้นเชิง Railgun “ปกป้อง” โทเค็นของผู้ใช้ภายในระบบความเป็นส่วนตัว เพื่อให้แต่ละธุรกรรมดูเหมือนจะถูกส่งจากที่อยู่สัญญาของ Railgun บนบล็อกเชน
ในช่วงต้นปี 2023 FBI ระบุว่ากลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือ Lazarus Group ใช้ Railgun เพื่อฟอกเงินกว่า 60 ล้านดอลลาร์ในกองทุนที่ขโมยมาจาก Horizon Bridge ของ Harmony
บทสรุป
บทความนี้จะแนะนำกิจกรรมของกลุ่มแฮกเกอร์ชาวเกาหลีเหนือ Lazarus Group ในปี 2023 ทีมรักษาความปลอดภัย SlowMist ติดตามกลุ่มแฮ็กเกอร์นี้อย่างต่อเนื่องและได้สรุปและวิเคราะห์ไดนามิกและวิธีการฟอกเงินเพื่อสร้างโปรไฟล์ของกลุ่ม ในปี 2023 แก๊งประมงเริ่มอาละวาด ก่อให้เกิดความสูญเสียทางการเงินมหาศาลต่ออุตสาหกรรมบล็อกเชน แก๊งเหล่านี้ปฏิบัติการในลักษณะที่มีการประสานงาน โดยนำเสนอรูปแบบการโจมตีแบบ "ถ่ายทอด" การโจมตีขนาดใหญ่อย่างต่อเนื่องก่อให้เกิดความท้าทายที่สำคัญต่อความปลอดภัยของอุตสาหกรรม เราขอขอบคุณแพลตฟอร์มต่อต้านการฉ้อโกง Web3 นั่นคือ Scam Sniffer สำหรับการเปิดเผยแก๊งฟิชชิ่ง Wallet Drainers เราเชื่อว่าข้อมูลนี้มีความสำคัญอย่างยิ่งในการทำความเข้าใจวิธีการทำงานและสถานการณ์ผลกำไร สุดท้ายนี้ เรายังให้ข้อมูลเบื้องต้นเกี่ยวกับเครื่องมือฟอกเงินที่แฮกเกอร์ใช้กันทั่วไป
ดาวน์โหลดรายงานฉบับเต็ม:
https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(EN).pdf
ข้อสงวนสิทธิ์:
- บทความนี้พิมพ์ซ้ำจาก [เทคโนโลยี SlowMist] ลิขสิทธิ์ทั้งหมดเป็นของผู้แต่งต้นฉบับ [ทีม fogsecurity ช้า] หากมีการคัดค้านการพิมพ์ซ้ำนี้ โปรดติดต่อทีมงาน Gate Learn แล้วพวกเขาจะจัดการโดยเร็วที่สุด
- การปฏิเสธความรับผิด: มุมมองและความคิดเห็นที่แสดงในบทความนี้เป็นเพียงของผู้เขียนเท่านั้น และไม่ถือเป็นคำแนะนำในการลงทุนใดๆ
- การแปลบทความเป็นภาษาอื่นดำเนินการโดยทีมงาน Gate Learn เว้นแต่จะกล่าวถึง ห้ามคัดลอก แจกจ่าย หรือลอกเลียนแบบบทความที่แปลแล้ว
Mời người khác bỏ phiếu
Bài viết liên quan
การใช้ Bitcoin (BTC) ในเอลซัลวาดอร์ - การวิเคราะห์สถานะปัจจุบัน
โคติคืออะไร? สิ่งที่คุณต้องรู้เกี่ยวกับ COTI
เทคโนโลยีบัญชีแยกประเภทแบบกระจาย (DLT) คืออะไร?
รายงานการวิเคราะห์การตีความแฮกเกอร์ชาวเกาหลีเหนือ กลุ่มฟิชชิ่ง และเครื่องมือฟอกเงิน
กลุ่มลาซารัส
อัปเดตในปี 2023
ตามข้อมูลสาธารณะในปี 2023 ณ เดือนมิถุนายน ไม่มีคดีขโมยสกุลเงินดิจิทัลที่สำคัญๆ ที่เกี่ยวข้องกับกลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือ Lazarus Group จากกิจกรรมออนไลน์ Lazarus Group ฟอกเงินสกุลเงินดิจิทัลที่ถูกขโมยไปเป็นหลักตั้งแต่ปี 2565 ซึ่งรวมถึงเงินที่สูญเสียไปประมาณ 100 ล้านดอลลาร์จากการโจมตีสะพานข้ามเครือข่าย Harmony เมื่อวันที่ 23 มิถุนายน 2565
อย่างไรก็ตาม ข้อเท็จจริงที่ตามมาแสดงให้เห็นว่า Lazarus Group นอกเหนือจากการฟอกเงินสกุลเงินดิจิทัลที่ถูกขโมยไปตั้งแต่ปี 2022 แล้ว ยังมีบทบาทในความมืดมิด โดยมีส่วนร่วมในกิจกรรมการโจมตีที่เกี่ยวข้องกับ APT กิจกรรมเหล่านี้นำไปสู่ “Dark 101 Days” โดยตรงในอุตสาหกรรมสกุลเงินดิจิทัล เริ่มตั้งแต่วันที่ 3 มิถุนายน
ในช่วง “Dark 101 Days” มีแพลตฟอร์มทั้งหมด 5 แพลตฟอร์มที่ถูกแฮ็ก โดยมีมูลค่ารวมกว่า 300 ล้านดอลลาร์ โดยมีเป้าหมายหลักคือแพลตฟอร์มบริการแบบรวมศูนย์
ประมาณวันที่ 12 กันยายน SlowMist ร่วมกับพันธมิตร ค้นพบการโจมตี APT ขนาดใหญ่ที่กำหนดเป้าหมายไปที่อุตสาหกรรมสกุลเงินดิจิทัลโดยกลุ่มแฮ็กเกอร์ Lazarus Group วิธีการโจมตีมีดังนี้ ประการแรก พวกเขามีส่วนร่วมในการหลอกลวงข้อมูลประจำตัวโดยใช้การยืนยันตัวตนจริงเพื่อหลอกลวงเจ้าหน้าที่ตรวจสอบและกลายเป็นลูกค้าจริง จากนั้นพวกเขาก็ทำการฝากเงินจริง ด้วยการระบุตัวตนของลูกค้าเป็นการปกปิด พวกเขาจึงเลือกใช้โทรจัน Mac หรือ Windows แบบกำหนดเองให้กับเจ้าหน้าที่และลูกค้าอย่างเป็นทางการ (ผู้โจมตี) ในระหว่างการสื่อสาร โดยได้รับสิทธิ์ในการย้ายด้านข้างภายในเครือข่ายภายใน พวกเขาแฝงตัวอยู่เป็นเวลานานเพื่อบรรลุเป้าหมายในการขโมยเงิน
FBI ของสหรัฐฯ ยังกังวลเกี่ยวกับการโจรกรรมครั้งใหญ่ในระบบนิเวศของสกุลเงินดิจิทัล และระบุต่อสาธารณะในข่าวประชาสัมพันธ์ว่าถูกจัดการโดยแฮกเกอร์ชาวเกาหลีเหนือ Lazarus Group ต่อไปนี้เป็นข่าวประชาสัมพันธ์ที่เกี่ยวข้องจาก FBI ในปี 2023 เกี่ยวกับ Lazarus Group แฮ็กเกอร์ชาวเกาหลีเหนือ:
เมื่อวันที่ 23 มกราคม FBI ยืนยัน (https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft) แฮกเกอร์ชาวเกาหลีเหนือ Lazarus Group ควรรับผิดชอบต่อเหตุการณ์ Harmony Hack
เมื่อวันที่ 22 สิงหาคม FBI ได้ออกประกาศ (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) โดยระบุว่าองค์กรแฮ็กเกอร์ชาวเกาหลีเหนือ Hacks ที่เกี่ยวข้องกับ Atomic Wallet, Alphapo และ CoinsPaid ขโมยเงินดิจิทัลไปทั้งหมด 197 ล้านดอลลาร์
เมื่อวันที่ 6 กันยายน FBI ได้ออกแถลงการณ์ (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) ยืนยันว่าแฮกเกอร์ชาวเกาหลีเหนือ Lazarus Group เป็นผู้รับผิดชอบต่อการขโมยเงิน 41 ล้านดอลลาร์จากแพลตฟอร์มการพนันสกุลเงินดิจิตอล Stake.com
การวิเคราะห์วิธีการฟอกเงิน
จากการวิเคราะห์ของเรา วิธีการฟอกเงินของแฮ็กเกอร์ชาวเกาหลีเหนือ Lazarus Group ก็มีการพัฒนาอย่างต่อเนื่องเช่นกัน วิธีการฟอกเงินแบบใหม่จะปรากฏขึ้นเป็นระยะๆ ตารางเวลาสำหรับการเปลี่ยนแปลงวิธีการฟอกเงินมีดังนี้:
การวิเคราะห์โปรไฟล์แก๊งค์
จากการสนับสนุนอันแข็งแกร่งที่เกี่ยวข้องกับข่าวกรองของพันธมิตรเครือข่ายข่าวกรอง InMist ทีม SlowMist AML ติดตามและวิเคราะห์ข้อมูลที่เกี่ยวข้องกับเหตุการณ์ที่ถูกขโมยเหล่านี้และกลุ่มแฮ็กเกอร์ Lazarus Group จากนั้นจึงได้รับภาพบางส่วนของกลุ่มแฮ็กเกอร์ Lazarus Group:
- มักใช้อัตลักษณ์ของยุโรปหรือตุรกีเป็นการปลอมตัว
- ได้รับข้อมูล IP หลายสิบข้อมูลที่อยู่อีเมลจำนวนมาก และข้อมูลประจำตัวที่ไม่ละเอียดอ่อนบางส่วนได้รับ:
- 111...49
- 103...162
- 103...205
- 210...9
- 103...29
- 103...163
- 154...10
- 185...217
ที่ระบายกระเป๋าสตางค์
หมายเหตุ: ส่วนนี้เขียนโดย Scam Sniffer ซึ่งฉันอยากจะแสดงความขอบคุณ
ดูตัวอย่าง
Wallet Drainers ซึ่งเป็นมัลแวร์ประเภทหนึ่งที่เกี่ยวข้องกับสกุลเงินดิจิทัล ประสบความสำเร็จอย่างโดดเด่นในปีที่ผ่านมา โปรแกรมซอฟต์แวร์เหล่านี้ถูกใช้งานบนเว็บไซต์ฟิชชิ่งเพื่อหลอกลวงผู้ใช้ให้ลงนามในธุรกรรมที่เป็นอันตราย และขโมยทรัพย์สินจากกระเป๋าเงินดิจิตอลของพวกเขา กิจกรรมฟิชชิ่งเหล่านี้มุ่งเป้าไปที่ผู้ใช้ทั่วไปในรูปแบบต่างๆ อย่างต่อเนื่อง ซึ่งนำไปสู่ความสูญเสียทางการเงินที่สำคัญสำหรับหลายๆ คนที่ลงนามในธุรกรรมที่เป็นอันตรายเหล่านี้โดยไม่รู้ตัว
สถิติกองทุนที่ถูกขโมย
ในปีที่ผ่านมา Scam Sniffer ตรวจพบ Wallet Drainers ที่ขโมยเงินเกือบ 295 ล้านดอลลาร์จากเหยื่อประมาณ 324,000 ราย
เทรนด์
โดยเฉพาะอย่างยิ่งในวันที่ 11 มีนาคม มีการขโมยเงินเกือบ 7 ล้านเหรียญสหรัฐ สาเหตุหลักมาจากความผันผวนของอัตราแลกเปลี่ยน USDC และไซต์ฟิชชิ่งที่แอบอ้างเป็น Circle นอกจากนี้ยังมีการโจรกรรมเพิ่มขึ้นอย่างมากในช่วงวันที่ 24 มีนาคม ซึ่งสอดคล้องกับการประนีประนอมของ Arbitrum's Discord และเหตุการณ์ส่งทางอากาศที่ตามมา
การโจรกรรมสูงสุดแต่ละครั้งมีความเกี่ยวข้องกับเหตุการณ์ทั่วทั้งชุมชน ซึ่งอาจเป็นการแพร่ทางอากาศหรือการแฮ็ก
ตัวระบายกระเป๋าสตางค์ที่น่าสังเกต
หลังจากที่ ZachXBT เปิดเผย Monkey Drainer พวกเขาก็ได้ประกาศออกจากระบบหลังจากเปิดใช้งานมาเป็นเวลา 6 เดือน จากนั้น Venom ก็เข้ายึดครองลูกค้าส่วนใหญ่ของพวกเขา ต่อมา MS, Inferno, Angel และ Pink ก็ปรากฏตัวขึ้นประมาณเดือนมีนาคม เมื่อ Venom หยุดดำเนินการประมาณเดือนเมษายน กลุ่มฟิชชิ่งส่วนใหญ่จึงเปลี่ยนมาใช้บริการอื่น ด้วยค่าธรรมเนียม Drainer 20% พวกเขาสร้างรายได้อย่างน้อย 47 ล้านดอลลาร์จากการขายบริการเหล่านี้
เทรนด์การระบายกระเป๋าสตางค์
การวิเคราะห์แนวโน้มแสดงให้เห็นว่ากิจกรรมฟิชชิ่งมีการเติบโตอย่างต่อเนื่อง ยิ่งไปกว่านั้น ในแต่ละครั้งที่ Drainer ออกไป จะมีอันใหม่เข้ามาแทนที่ เช่น Angel ที่โผล่ออกมาแทนที่หลังจากที่ Inferno ประกาศการจากไป
พวกเขาเริ่มกิจกรรมฟิชชิ่งได้อย่างไร?
เว็บไซต์ฟิชชิ่งเหล่านี้ส่วนใหญ่ได้รับการเข้าชมผ่านหลายวิธี:
- การโจมตีของแฮ็กเกอร์:
- บัญชี Discord และ Twitter ของโครงการอย่างเป็นทางการถูกแฮ็ก
- การโจมตีส่วนหน้าของโครงการอย่างเป็นทางการหรือไลบรารีที่พวกเขาใช้
- การเข้าชมแบบออร์แกนิก
- การทิ้ง NFT หรือโทเค็น
- การใช้ประโยชน์จากลิงก์ Discord ที่หมดอายุ
- การแจ้งเตือนสแปมและความคิดเห็นบน Twitter
- การเข้าชมที่เสียค่าใช้จ่าย
- ค้นหาโฆษณาของ Google
- โฆษณาทวิตเตอร์
แม้ว่าการโจมตีของแฮ็กเกอร์จะส่งผลกระทบในวงกว้าง แต่ชุมชนก็มักจะตอบสนองอย่างรวดเร็ว โดยทั่วไปภายใน 10-50 นาที ในทางตรงกันข้าม การแอร์ดรอป การเข้าชมแบบออร์แกนิก การโฆษณาแบบเสียค่าใช้จ่าย และการหาประโยชน์จากลิงก์ Discord ที่หมดอายุจะสังเกตเห็นได้น้อยลง
ลายเซ็นฟิชชิ่งทั่วไป
เนื้อหาประเภทต่างๆ มีวิธีที่แตกต่างกันในการเริ่มต้นลายเซ็นฟิชชิ่งที่เป็นอันตราย ข้างต้นคือวิธีการลายเซ็นฟิชชิ่งทั่วไปสำหรับเนื้อหาประเภทต่างๆ Drainers จะเป็นผู้ตัดสินใจว่าจะเริ่มลายเซ็นฟิชชิ่งที่เป็นอันตรายประเภทใด โดยพิจารณาจากประเภทของทรัพย์สินที่กระเป๋าเงินของเหยื่อถืออยู่
ตัวอย่างเช่น จากกรณีของการใช้ประโยชน์จาก signalTransfer ของ GMX เพื่อขโมยโทเค็น Reward LP เห็นได้ชัดว่าเทคนิคฟิชชิ่งมีความซับซ้อนสูงและได้รับการปรับแต่งสำหรับสินทรัพย์เฉพาะ
เพิ่มการใช้สัญญาอัจฉริยะ
1) มัลติคอล
เริ่มตั้งแต่ Inferno มีการมุ่งเน้นที่การใช้เทคโนโลยีสัญญาเพิ่มมากขึ้น ตัวอย่างเช่น ในกรณีที่ค่าธรรมเนียมการทำธุรกรรมแยกต้องใช้สองธุรกรรมแยกกัน กระบวนการอาจไม่เร็วพอ สิ่งนี้อาจทำให้เหยื่อเพิกถอนการอนุญาตก่อนการโอนครั้งที่สอง เพื่อเพิ่มประสิทธิภาพ พวกเขาเริ่มใช้ multicall เพื่อการโอนสินทรัพย์ที่มีประสิทธิภาพมากขึ้น
2) สร้าง 2 และสร้าง
เพื่อเลี่ยงการตรวจสอบความปลอดภัยของกระเป๋าเงิน พวกเขายังได้เริ่มทดลองใช้ create2 หรือสร้างเพื่อสร้างที่อยู่ชั่วคราวแบบไดนามิก แนวทางนี้ทำให้บัญชีดำที่ใช้กระเป๋าสตางค์ไม่ได้ผล และทำให้การวิจัยเกี่ยวกับกิจกรรมฟิชชิ่งมีความซับซ้อน เนื่องจากคุณไม่สามารถทราบได้ว่าสินทรัพย์จะถูกโอนไปที่ใดโดยไม่ต้องลงนาม และที่อยู่ชั่วคราวไม่ได้ให้คุณค่าในการวิเคราะห์มากนัก นี่จึงเป็นความท้าทายที่สำคัญ นี่เป็นการเปลี่ยนแปลงที่สำคัญเมื่อเทียบกับปีที่แล้ว
เว็บไซต์ฟิชชิ่ง
การวิเคราะห์จำนวนเว็บไซต์ฟิชชิ่งเผยให้เห็นกิจกรรมฟิชชิ่งที่เพิ่มขึ้นอย่างต่อเนื่องทุกเดือน ซึ่งเชื่อมโยงอย่างใกล้ชิดกับความพร้อมใช้งานของบริการดูดกระเป๋าสตางค์ที่มีเสถียรภาพ
โดเมนที่ใช้โดยเว็บไซต์ฟิชชิ่งเหล่านี้ส่วนใหญ่จะลงทะเบียนกับผู้รับจดทะเบียนโดเมนเฉพาะ การวิเคราะห์ที่อยู่เซิร์ฟเวอร์แสดงให้เห็นว่าส่วนใหญ่ใช้ Cloudflare เพื่อซ่อนตำแหน่งเซิร์ฟเวอร์จริง
เครื่องมือฟอกเงิน
ซินแบด
Sinbad เป็นเครื่องผสม Bitcoin ที่ก่อตั้งขึ้นเมื่อวันที่ 5 ตุลาคม 2022 ปิดบังรายละเอียดธุรกรรมเพื่อซ่อนการไหลของเงินทุนในบล็อคเชน
กระทรวงการคลังของสหรัฐอเมริกา อธิบายว่า Sinbad เป็น "เครื่องมือผสมสกุลเงินเสมือน ซึ่งเป็นเครื่องมือหลักในการฟอกเงินสำหรับกลุ่มแฮ็กชาวเกาหลีเหนือ Lazarus ซึ่งกำหนดโดย OFAC" Sinbad จัดการเงินทุนจากเหตุการณ์แฮ็ค Horizon Bridge และ Axie Infinity และยังโอนเงินที่เกี่ยวข้องกับกิจกรรมต่างๆ เช่น “การหลบเลี่ยงการคว่ำบาตร การค้ายาเสพติด การจัดซื้อวัสดุที่เกี่ยวข้องกับการแสวงหาประโยชน์ทางเพศจากเด็ก และการมีส่วนร่วมในการขายที่ผิดกฎหมายอื่น ๆ ในตลาดเว็บมืด ”
แฮกเกอร์ Alphapo (Lazarus Group) ใช้ Sinbad ในกระบวนการฟอกเงิน ดังที่เห็นในธุรกรรมเช่น:
(https://oxt.me/transaction/2929e9d0055a431e1879b996d0d6f70aa607bb123d12bfad42e1f507d1d200a5)
เงินสดทอร์นาโด
(https://dune.com/misttrack/mixer-2023)
Tornado Cash เป็นโปรโตคอลที่ไม่มีการกระจายอำนาจอย่างสมบูรณ์ ซึ่งปรับปรุงความเป็นส่วนตัวของธุรกรรมโดยการทำลายลิงก์ออนไลน์ระหว่างที่อยู่ต้นทางและปลายทาง เพื่อปกป้องความเป็นส่วนตัว Tornado Cash ใช้สัญญาอัจฉริยะที่รับ ETH และการฝากโทเค็นอื่น ๆ จากที่อยู่หนึ่ง และอนุญาตให้ถอนไปยังที่อยู่อื่น เช่น การส่ง ETH และโทเค็นอื่น ๆ ไปยังที่อยู่ใด ๆ ในลักษณะที่ซ่อนที่อยู่การส่ง .
ในปี 2023 ผู้ใช้ฝากเงินจำนวน 342,042 ETH (ประมาณ 614 ล้านดอลลาร์) ลงใน Tornado Cash และถอนออกทั้งหมด 314,740 ETH (ประมาณ 567 ล้านดอลลาร์) จาก Tornado Cash
eXch
(https://dune.com/misttrack/mixer-2023)
ในปี 2023 ผู้ใช้ฝากเงินจำนวน 47,235 ETH (ประมาณ $90.14 ล้าน) ให้กับ eXch และยอดคงเหลือ ERC20 จำนวน 25,508,148 ERC20 (ประมาณ $25.5 ล้าน) ถูกฝากไปที่ eXch
เรลกัน
Railgun ใช้เทคโนโลยีการเข้ารหัส zk-SNARKs เพื่อทำให้ธุรกรรมมองไม่เห็นโดยสิ้นเชิง Railgun “ปกป้อง” โทเค็นของผู้ใช้ภายในระบบความเป็นส่วนตัว เพื่อให้แต่ละธุรกรรมดูเหมือนจะถูกส่งจากที่อยู่สัญญาของ Railgun บนบล็อกเชน
ในช่วงต้นปี 2023 FBI ระบุว่ากลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือ Lazarus Group ใช้ Railgun เพื่อฟอกเงินกว่า 60 ล้านดอลลาร์ในกองทุนที่ขโมยมาจาก Horizon Bridge ของ Harmony
บทสรุป
บทความนี้จะแนะนำกิจกรรมของกลุ่มแฮกเกอร์ชาวเกาหลีเหนือ Lazarus Group ในปี 2023 ทีมรักษาความปลอดภัย SlowMist ติดตามกลุ่มแฮ็กเกอร์นี้อย่างต่อเนื่องและได้สรุปและวิเคราะห์ไดนามิกและวิธีการฟอกเงินเพื่อสร้างโปรไฟล์ของกลุ่ม ในปี 2023 แก๊งประมงเริ่มอาละวาด ก่อให้เกิดความสูญเสียทางการเงินมหาศาลต่ออุตสาหกรรมบล็อกเชน แก๊งเหล่านี้ปฏิบัติการในลักษณะที่มีการประสานงาน โดยนำเสนอรูปแบบการโจมตีแบบ "ถ่ายทอด" การโจมตีขนาดใหญ่อย่างต่อเนื่องก่อให้เกิดความท้าทายที่สำคัญต่อความปลอดภัยของอุตสาหกรรม เราขอขอบคุณแพลตฟอร์มต่อต้านการฉ้อโกง Web3 นั่นคือ Scam Sniffer สำหรับการเปิดเผยแก๊งฟิชชิ่ง Wallet Drainers เราเชื่อว่าข้อมูลนี้มีความสำคัญอย่างยิ่งในการทำความเข้าใจวิธีการทำงานและสถานการณ์ผลกำไร สุดท้ายนี้ เรายังให้ข้อมูลเบื้องต้นเกี่ยวกับเครื่องมือฟอกเงินที่แฮกเกอร์ใช้กันทั่วไป
ดาวน์โหลดรายงานฉบับเต็ม:
https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(EN).pdf
ข้อสงวนสิทธิ์:
- บทความนี้พิมพ์ซ้ำจาก [เทคโนโลยี SlowMist] ลิขสิทธิ์ทั้งหมดเป็นของผู้แต่งต้นฉบับ [ทีม fogsecurity ช้า] หากมีการคัดค้านการพิมพ์ซ้ำนี้ โปรดติดต่อทีมงาน Gate Learn แล้วพวกเขาจะจัดการโดยเร็วที่สุด
- การปฏิเสธความรับผิด: มุมมองและความคิดเห็นที่แสดงในบทความนี้เป็นเพียงของผู้เขียนเท่านั้น และไม่ถือเป็นคำแนะนำในการลงทุนใดๆ
- การแปลบทความเป็นภาษาอื่นดำเนินการโดยทีมงาน Gate Learn เว้นแต่จะกล่าวถึง ห้ามคัดลอก แจกจ่าย หรือลอกเลียนแบบบทความที่แปลแล้ว
Bài viết liên quan
การใช้ Bitcoin (BTC) ในเอลซัลวาดอร์ - การวิเคราะห์สถานะปัจจุบัน
โคติคืออะไร? สิ่งที่คุณต้องรู้เกี่ยวกับ COTI