Grup Lazarus

Pembaruan pada tahun 2023

Menurut informasi publik pada tahun 2023, hingga bulan Juni, tidak ada kasus pencurian mata uang kripto besar-besaran yang dikaitkan dengan kelompok peretas Korea Utara, Lazarus Group. Berdasarkan aktivitas on-chain, Lazarus Group terutama mencuci dana mata uang kripto yang dicuri dari tahun 2022, termasuk sekitar $100 juta yang hilang dalam serangan di jembatan lintas rantai Harmony pada tanggal 23 Juni 2022.

Namun, fakta selanjutnya menunjukkan bahwa Lazarus Group, selain mencuci dana cryptocurrency yang dicuri dari tahun 2022, juga aktif dalam kegelapan, terlibat dalam aktivitas serangan terkait APT. Kegiatan ini secara langsung mengarah pada “101 Hari Gelap” di industri cryptocurrency mulai tanggal 3 Juni.

Selama “101 Hari Kegelapan,” total 5 platform diretas, dengan jumlah total yang dicuri melebihi $300 juta, terutama menargetkan platform layanan terpusat.

Sekitar tanggal 12 September, SlowMist, bersama dengan mitranya, menemukan serangan APT berskala besar yang menargetkan industri mata uang kripto oleh kelompok peretas Lazarus Group. Metode penyerangannya adalah sebagai berikut: pertama, mereka melakukan penipuan identitas dengan menggunakan verifikasi orang sungguhan untuk menipu petugas verifikasi dan menjadi pelanggan asli. Mereka kemudian melakukan setoran nyata. Dengan identitas pelanggan sebagai kedok, mereka secara selektif menyebarkan trojan Mac atau Windows khusus ke personel resmi dan pelanggan (penyerang) selama komunikasi, mendapatkan izin untuk bergerak secara lateral dalam jaringan internal. Mereka mengintai dalam waktu lama untuk mencapai tujuan mencuri dana.

FBI AS juga prihatin dengan pencurian besar-besaran di ekosistem mata uang kripto dan secara terbuka menyatakan dalam siaran pers bahwa hal itu dimanipulasi oleh peretas Korea Utara, Lazarus Group. Berikut siaran pers relevan dari FBI pada tahun 2023 mengenai Lazarus Group hacker Korea Utara:

• Pada tanggal 23 Januari, FBI mengonfirmasi (https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft) Peretas Korea Utara Lazarus Group seharusnya bertanggung jawab atas insiden Harmony Hack.

• Pada tanggal 22 Agustus, FBI mengeluarkan pemberitahuan (https://www.fbi.gov/news/press-releases/fbi-identified-cryptocurrency-funds-stolen-by-dprk) menyatakan bahwa organisasi peretas Korea Utara Hacks yang melibatkan Atomic Wallet, Alphapo, dan CoinsPaid mencuri total $197 juta dalam mata uang kripto.

• Pada tanggal 6 September, FBI mengeluarkan siaran pers (https://www.fbi.gov/news/press-releases/fbi-identified-cryptocurrency-funds-stolen-by-dprk) mengonfirmasi bahwa peretas Korea Utara Lazarus Group bertanggung jawab atas pencurian $41 juta dari platform perjudian cryptocurrency Stake.com.

Analisis metode pencucian uang

Menurut analisis kami, metode pencucian uang yang dilakukan oleh peretas Korea Utara, Lazarus Group, juga terus berkembang seiring berjalannya waktu. Metode pencucian uang baru akan muncul sesekali. Adapun jadwal perubahan metode pencucian uang adalah sebagai berikut:

Analisis profil geng

Berdasarkan dukungan kuat terkait intelijen dari mitra jaringan intelijen InMist, tim SlowMist AML menindaklanjuti dan menganalisis data terkait insiden pencurian ini dan kelompok peretas Lazarus Group, lalu memperoleh sebagian potret kelompok peretas Lazarus Group:

• Sering menggunakan identitas Eropa atau Turki sebagai penyamaran.
• Lusinan informasi IP, berbagai informasi alamat email, dan beberapa informasi identitas yang tidak sensitif telah diperoleh:
  • 111...49
  • 103...162
  • 103...205
  • 210...9
  • 103...29
  • 103...163
  • 154...10
  • 185...217

Penguras Dompet

Catatan: Bagian ini ditulis oleh Scam Sniffer, dan saya ingin mengucapkan terima kasih.

Ikhtisar

Wallet Drainers, sejenis malware terkait mata uang kripto, telah mencapai “kesuksesan” penting dalam setahun terakhir. Program perangkat lunak ini digunakan di situs web phishing untuk menipu pengguna agar menandatangani transaksi berbahaya, sehingga mencuri aset dari dompet mata uang kripto mereka. Aktivitas phishing ini terus-menerus menargetkan pengguna biasa dalam berbagai bentuk, menyebabkan kerugian finansial yang signifikan bagi banyak orang yang tanpa disadari menandatangani transaksi berbahaya ini.

Statistik dana curian

Selama setahun terakhir, Scam Sniffer telah mendeteksi Wallet Drainers mencuri hampir $295 juta dari sekitar 324.000 korban.

Tren

Khususnya, pada tanggal 11 Maret, hampir $7 juta dicuri, terutama karena fluktuasi nilai tukar USDC dan situs phishing yang meniru identitas Circle. Ada juga lonjakan pencurian yang signifikan sekitar tanggal 24 Maret, bertepatan dengan kompromi Arbitrum's Discord dan peristiwa airdrop berikutnya.

Setiap puncak pencurian dikaitkan dengan peristiwa komunitas, yang bisa berupa insiden serangan udara atau peretasan

Penguras Dompet yang Patut Diperhatikan

Setelah ZachXBT mengungkap Monkey Drainer, mereka mengumumkan keluarnya setelah aktif selama 6 bulan. Venom kemudian mengambil alih sebagian besar klien mereka. Selanjutnya MS, Inferno, Angel, dan Pink muncul sekitar bulan Maret. Dengan penghentian operasi Venom sekitar bulan April, sebagian besar kelompok phishing beralih menggunakan layanan lain. Dengan biaya Drainer 20%, mereka menghasilkan setidaknya $47 juta dengan menjual layanan ini.

Tren Penguras Dompet

Analisis tren menunjukkan bahwa aktivitas phishing terus meningkat. Selain itu, setiap kali Drainer keluar, ada yang baru yang menggantikannya, seperti Angel yang muncul sebagai penggantinya setelah Inferno mengumumkan kepergiannya.

Bagaimana mereka memulai aktivitas phishing?

Situs web phishing ini memperoleh lalu lintas melalui beberapa metode:

• Serangan Peretas:
  • Proyek resmi akun Discord dan Twitter diretas
  • Serangan di bagian depan proyek resmi atau perpustakaan yang mereka gunakan
• Lalu Lintas Organik
  • Menjatuhkan NFT atau Token melalui udara
  • Memanfaatkan tautan Discord yang kedaluwarsa
  • Pengingat dan komentar spam di Twitter
• Lalu Lintas Berbayar
  • Pencarian iklan Google
  • Iklan Twitter

Meskipun serangan hacker mempunyai dampak yang luas, komunitas sering kali bereaksi dengan cepat, biasanya dalam waktu 10-50 menit. Sebaliknya, airdrop, lalu lintas organik, iklan berbayar, dan eksploitasi tautan Discord yang kedaluwarsa kurang terlihat.

Tanda Tangan Phishing Umum

Berbagai jenis aset memiliki cara berbeda untuk memulai tanda tangan phishing berbahaya. Di atas adalah beberapa metode tanda tangan phishing yang umum untuk berbagai jenis aset. Drainer akan memutuskan jenis tanda tangan phishing berbahaya apa yang akan dimulai berdasarkan jenis aset yang dimiliki dompet korban.

Misalnya, dari kasus eksploitasi signalTransfer GMX untuk mencuri token Reward LP, terbukti bahwa teknik phishing telah menjadi sangat canggih dan disesuaikan untuk aset tertentu.

Tingkatkan Penggunaan Kontrak Cerdas

1） Multipanggilan

Dimulai dengan Inferno, terdapat peningkatan fokus pada penggunaan teknologi kontrak. Misalnya, jika pemisahan biaya transaksi memerlukan dua transaksi terpisah, prosesnya mungkin tidak cukup cepat. Hal ini memungkinkan korban untuk mencabut otorisasi sebelum transfer kedua. Untuk meningkatkan efisiensi, mereka mulai menggunakan multicall untuk transfer aset yang lebih efektif.

2）BUAT2 & BUAT

Untuk melewati beberapa pemeriksaan keamanan dompet, mereka juga mulai bereksperimen dengan create2 atau create untuk menghasilkan alamat sementara secara dinamis. Pendekatan ini menjadikan daftar hitam berbasis dompet tidak efektif dan mempersulit penelitian terhadap aktivitas phishing. Karena Anda tidak dapat mengetahui ke mana aset akan ditransfer tanpa penandatanganan, dan alamat sementara tidak memberikan banyak nilai analitis, hal ini menimbulkan tantangan yang signifikan. Hal ini menandai perubahan besar dibandingkan tahun lalu.

Situs Web Phishing

Menganalisis jumlah situs web phishing mengungkapkan peningkatan aktivitas phishing bulanan yang stabil, terkait erat dengan ketersediaan layanan penguras dompet yang stabil.

Domain yang digunakan oleh situs web phishing ini sebagian besar terdaftar pada pendaftar domain tertentu. Analisis alamat server menunjukkan bahwa sebagian besar menggunakan Cloudflare untuk menyembunyikan lokasi server sebenarnya.

Alat Pencucian Uang

Sinbad

Sinbad adalah pencampur Bitcoin yang didirikan pada 5 Oktober 2022. Ini mengaburkan detail transaksi untuk menyembunyikan aliran dana di blockchain.

Departemen Keuangan AS menggambarkan Sinbad sebagai “pencampur mata uang virtual, alat pencucian uang utama untuk kelompok peretas Korea Utara Lazarus, yang ditunjuk oleh OFAC.” Sinbad telah menangani dana dari insiden peretasan Horizon Bridge dan Axie Infinity dan juga telah mentransfer dana terkait dengan aktivitas seperti “menghindari sanksi, perdagangan narkoba, pembelian materi terkait eksploitasi seksual terhadap anak, dan terlibat dalam penjualan ilegal lainnya di pasar web gelap. ”

Peretas Alphapo (Lazarus Group) menggunakan Sinbad dalam proses pencucian uang mereka, seperti yang terlihat dalam transaksi seperti:

(https://oxt.me/transaction/2929e9d0055a431e1879b996d0d6f70aa607bb123d12bfad42e1f507d1d200a5)

Uang Tunai Tornado

(https://dune.com/misttrack/mixer-2023)

Tornado Cash adalah protokol non-penahanan yang sepenuhnya terdesentralisasi yang meningkatkan privasi transaksi dengan memutus hubungan on-chain antara alamat sumber dan tujuan. Untuk melindungi privasi, Tornado Cash menggunakan kontrak pintar yang menerima ETH dan setoran token lainnya dari satu alamat dan memungkinkan mereka untuk menarik ke alamat lain, yaitu mengirim ETH dan token lain ke alamat mana pun dengan cara yang menyembunyikan alamat pengirim. .

Pada tahun 2023, pengguna menyetor total 342,042 ETH (sekitar $614 juta) ke Tornado Cash, dan menarik total 314,740 ETH (sekitar $567 juta) dari Tornado Cash.

eXch

(https://dune.com/misttrack/mixer-2023)

Pada tahun 2023, pengguna menyetor total 47,235 ETH (sekitar $90,14 juta) ke eXch, dan total 25,508,148 stablecoin ERC20 (sekitar $25,5 juta) disetorkan ke eXch.

senapan kereta api

Railgun menggunakan teknologi kriptografi zk-SNARKs untuk membuat transaksi benar-benar tidak terlihat. Railgun “melindungi” token pengguna dalam sistem privasinya, sehingga setiap transaksi tampak dikirim dari alamat kontrak Railgun di blockchain.

Pada awal tahun 2023, FBI menyatakan bahwa kelompok peretas Korea Utara Lazarus Group menggunakan Railgun untuk mencuci lebih dari $60 juta dana yang dicuri dari Harmony's Horizon Bridge.

Kesimpulan

Artikel ini memperkenalkan aktivitas kelompok hacker Korea Utara, Lazarus Group, pada tahun 2023. Tim keamanan SlowMist terus memantau kelompok peretas ini dan telah merangkum serta menganalisis dinamika dan metode pencucian uang mereka untuk membuat profil kelompok tersebut. Pada tahun 2023, geng nelayan merajalela, menyebabkan kerugian finansial yang besar pada industri blockchain. Geng-geng ini beroperasi secara terkoordinasi, menghadirkan pola serangan “berantakan”. Serangan mereka yang terus menerus dan berskala besar menimbulkan tantangan yang signifikan terhadap keamanan industri. Kami ingin mengucapkan terima kasih kepada platform anti-penipuan Web3, Scam Sniffer, atas pengungkapan geng phishing, Wallet Drainers. Kami percaya bahwa informasi ini sangat penting untuk memahami metode kerja dan situasi keuntungan mereka. Terakhir, kami juga memberikan pengenalan tentang alat pencucian uang yang biasa digunakan oleh peretas.

Unduh laporan selengkapnya:

https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(EN).pdf

Penafian:

1. Artikel ini dicetak ulang dari [Teknologi SlowMist]. Semua hak cipta milik penulis asli [tim keamanan kabut lambat]. Jika ada keberatan terhadap cetak ulang ini, silakan menghubungi tim Gate Learn , dan mereka akan segera menanganinya.
2. Penafian Tanggung Jawab: Pandangan dan pendapat yang diungkapkan dalam artikel ini adalah sepenuhnya milik penulis dan bukan merupakan nasihat investasi apa pun.
3. Terjemahan artikel ke bahasa lain dilakukan oleh tim Gate Learn. Kecuali disebutkan, dilarang menyalin, mendistribusikan, atau menjiplak artikel terjemahan.