朝鲜黑客组织Lazarus Group的网络攻击和洗钱手法

近期，一份联合国机密报告揭示了朝鲜黑客团伙Lazarus Group的最新活动。据悉，该组织在去年从一家加密货币交易所盗取资金后，于今年3月通过某虚拟货币平台洗白了1.475亿美元。

联合国安理会制裁委员会的监察员透露，他们正在调查2017年至2024年间发生的97起疑似朝鲜黑客针对加密货币公司的网络攻击，涉及金额高达36亿美元。其中包括去年年底某加密货币交易所遭受的1.475亿美元盗窃案，这笔资金随后在今年3月完成了洗钱过程。

值得注意的是，美国政府已于2022年对该虚拟货币平台实施制裁。2023年，该平台的两名联合创始人被指控协助洗钱超过10亿美元，其中包括与朝鲜有关的网络犯罪组织Lazarus Group的非法所得。

根据加密货币分析专家的调查，Lazarus Group在2020年8月至2023年10月期间成功将价值2亿美元的加密货币转换为法定货币。

Lazarus Group长期以来一直被指控进行大规模的网络攻击和金融犯罪。他们的目标涵盖全球各地，从银行系统到加密货币交易所，从政府机构到私营企业，无所不包。以下我们将重点分析几个典型的攻击案例，揭示Lazarus Group如何通过其复杂的策略和技术手段成功实施这些惊人的攻击。

Lazarus Group的社会工程和网络钓鱼攻击

据欧洲媒体报道，Lazarus曾将欧洲和中东的军事和航空航天公司作为目标。他们在社交平台上发布虚假招聘广告，诱骗求职者下载含有恶意可执行文件的PDF文档，从而实施钓鱼攻击。

这种社会工程和网络钓鱼攻击试图利用心理操纵，诱使受害者放松警惕，执行危险操作如点击链接或下载文件，从而危及他们的安全。黑客通过植入恶意软件，能够针对受害者系统中的漏洞进行攻击并窃取敏感信息。

Lazarus还在针对某加密货币支付提供商的为期六个月的行动中使用了类似手法，导致该公司被盗3700万美元。在整个攻击过程中，他们向工程师发送虚假工作机会，发起分布式拒绝服务等技术攻击，并尝试多种可能的密码进行暴力破解。

CoinBerry、Unibright等攻击事件分析

2020年8月24日，加拿大某加密货币交易所的钱包遭到入侵。2020年9月11日，由于私钥泄露，Unbright团队控制的多个钱包中发生了40万美元的未经授权转账。2020年10月6日，某加密货币平台由于安全漏洞，其热钱包中未经授权转移了价值75万美元的加密资产。

2021年初，这些攻击事件的资金汇集到了同一个地址。随后，攻击者通过某混币服务存入了大量ETH，并在短期内再次提取。到2023年，经过多次转移和兑换，这些资金最终汇集到了其他安全事件资金归集的地址，并被发送至某些特定的存款地址。

某互助平台创始人遭黑客攻击

2020年12月14日，某互助平台的创始人个人钱包被盗37万NXM（约830万美元）。被盗资金在多个地址之间转移并兑换为其他资产。Lazarus Group通过这些地址进行了资金混淆、分散、归集等操作。部分资金通过跨链到比特币网络，再跨回以太坊网络，之后通过混币平台进行混淆，最后发送至提现平台。

2020年12月中旬，其中一个黑客地址将大量ETH发送至某混币服务。几个小时后，另一个关联地址开始了提款操作。黑客通过转移和兑换，将部分资金转移至之前提到的资金归集提现地址。

2021年5月至7月，攻击者将1100万USDT转入某交易平台的存款地址。2023年2月至6月，攻击者又通过不同地址将大量USDT发送到其他交易平台的存款地址。

Steadefi和CoinShift黑客攻击

2023年8月，Steadefi事件中624枚被盗ETH和CoinShift事件中900枚被盗ETH被转移到某混币服务。随后，这些资金被提取到几个特定地址。

2023年10月12日，这些地址将从混币服务提取的资金集中发送到一个新地址。到2023年11月，该地址开始转移资金，最终通过中转和兑换，将资金发送到了某些特定的存款地址。

总结

Lazarus Group在盗取加密资产后，主要通过跨链操作和利用混币服务来混淆资金来源。混淆后，他们将被盗资产提取到目标地址并发送到固定的地址群进行提现。被盗的加密资产通常被存入特定的存款地址，然后通过场外交易服务兑换为法定货币。

面对Lazarus Group持续、大规模的攻击，Web3行业面临着严峻的安全挑战。相关机构正在持续关注该黑客团伙的动态，并对其洗钱方式进行深入追踪，以协助项目方、监管机构与执法部门打击此类犯罪，追回被盗资产。