朝鮮黑客組織Lazarus Group的網路攻擊和洗錢手法

近期，一份聯合國機密報告揭示了朝鮮黑客團夥Lazarus Group的最新活動。據悉，該組織在去年從一家加密貨幣交易所盜取資金後，於今年3月通過某虛擬貨幣平台洗白了1.475億美元。

聯合國安理會制裁委員會的監察員透露，他們正在調查2017年至2024年間發生的97起疑似朝鮮黑客針對加密貨幣公司的網路攻擊，涉及金額高達36億美元。其中包括去年年底某加密貨幣交易所遭受的1.475億美元盜竊案，這筆資金隨後在今年3月完成了洗錢過程。

值得注意的是，美國政府已於2022年對該虛擬貨幣平台實施制裁。2023年，該平台的兩名聯合創始人被指控協助洗錢超過10億美元，其中包括與朝鮮有關的網路犯罪組織Lazarus Group的非法所得。

根據加密貨幣分析專家的調查，Lazarus Group在2020年8月至2023年10月期間成功將價值2億美元的加密貨幣轉換爲法定貨幣。

Lazarus Group長期以來一直被指控進行大規模的網路攻擊和金融犯罪。他們的目標涵蓋全球各地，從銀行系統到加密貨幣交易所，從政府機構到私營企業，無所不包。以下我們將重點分析幾個典型的攻擊案例，揭示Lazarus Group如何通過其復雜的策略和技術手段成功實施這些驚人的攻擊。

Lazarus Group的社會工程和網絡釣魚攻擊

據歐洲媒體報道，Lazarus曾將歐洲和中東的軍事和航空航天公司作爲目標。他們在社交平台上發布虛假招聘廣告，誘騙求職者下載含有惡意可執行文件的PDF文檔，從而實施釣魚攻擊。

這種社會工程和網絡釣魚攻擊試圖利用心理操縱，誘使受害者放松警惕，執行危險操作如點擊連結或下載文件，從而危及他們的安全。黑客通過植入惡意軟件，能夠針對受害者系統中的漏洞進行攻擊並竊取敏感信息。

Lazarus還在針對某加密貨幣支付提供商的爲期六個月的行動中使用了類似手法，導致該公司被盜3700萬美元。在整個攻擊過程中，他們向工程師發送虛假工作機會，發起分布式拒絕服務等技術攻擊，並嘗試多種可能的密碼進行暴力破解。

CoinBerry、Unibright等攻擊事件分析

2020年8月24日，加拿大某加密貨幣交易所的錢包遭到入侵。2020年9月11日，由於私鑰泄露，Unbright團隊控制的多個錢包中發生了40萬美元的未經授權轉帳。2020年10月6日，某加密貨幣平台由於安全漏洞，其熱錢包中未經授權轉移了價值75萬美元的加密資產。

2021年初，這些攻擊事件的資金匯集到了同一個地址。隨後，攻擊者通過某混幣服務存入了大量ETH，並在短期內再次提取。到2023年，經過多次轉移和兌換，這些資金最終匯集到了其他安全事件資金歸集的地址，並被發送至某些特定的存款地址。

某互助平台創始人遭黑客攻擊

2020年12月14日，某互助平台的創始人個人錢包被盜37萬NXM（約830萬美元）。被盜資金在多個地址之間轉移並兌換爲其他資產。Lazarus Group通過這些地址進行了資金混淆、分散、歸集等操作。部分資金通過跨鏈到比特幣網路，再跨回以太坊網路，之後通過混幣平台進行混淆，最後發送至提現平台。

2020年12月中旬，其中一個黑客地址將大量ETH發送至某混幣服務。幾個小時後，另一個關聯地址開始了提款操作。黑客通過轉移和兌換，將部分資金轉移至之前提到的資金歸集提現地址。

2021年5月至7月，攻擊者將1100萬USDT轉入某交易平台的存款地址。2023年2月至6月，攻擊者又通過不同地址將大量USDT發送到其他交易平台的存款地址。

Steadefi和CoinShift黑客攻擊

2023年8月，Steadefi事件中624枚被盜ETH和CoinShift事件中900枚被盜ETH被轉移到某混幣服務。隨後，這些資金被提取到幾個特定地址。

2023年10月12日，這些地址將從混幣服務提取的資金集中發送到一個新地址。到2023年11月，該地址開始轉移資金，最終通過中轉和兌換，將資金發送到了某些特定的存款地址。

總結

Lazarus Group在盜取加密資產後，主要通過跨鏈操作和利用混幣服務來混淆資金來源。混淆後，他們將被盜資產提取到目標地址並發送到固定的地址羣進行提現。被盜的加密資產通常被存入特定的存款地址，然後通過場外交易服務兌換爲法定貨幣。

面對Lazarus Group持續、大規模的攻擊，Web3行業面臨着嚴峻的安全挑戰。相關機構正在持續關注該黑客團夥的動態，並對其洗錢方式進行深入追蹤，以協助項目方、監管機構與執法部門打擊此類犯罪，追回被盜資產。