Grupo Lázaro

Atualizações em 2023

De acordo com informações públicas de 2023, até junho, nenhum caso importante de roubo de criptomoedas foi atribuído ao grupo de hackers norte-coreano Lazarus Group. Com base em atividades na rede, o Grupo Lazarus lavou principalmente os fundos de criptomoedas roubados de 2022, incluindo os aproximadamente US$ 100 milhões perdidos no ataque à ponte de cadeia cruzada Harmony em 23 de junho de 2022.

No entanto, factos subsequentes mostraram que o Grupo Lazarus, além de lavar os fundos de criptomoeda roubados a partir de 2022, tem estado ativo no escuro, envolvendo-se em atividades de ataque relacionadas com APT. Essas atividades levaram diretamente aos “Dark 101 Days” na indústria de criptomoedas a partir de 3 de junho.

Durante os “Dark 101 Days”, um total de 5 plataformas foram hackeadas, com um montante total roubado superior a 300 milhões de dólares, visando principalmente plataformas de serviços centralizadas.

Por volta de 12 de setembro, a SlowMist, juntamente com seus parceiros, descobriu um ataque APT em grande escala direcionado à indústria de criptomoedas pelo grupo de hackers Lazarus Group. O método de ataque é o seguinte: primeiro, eles enganam a identidade usando verificação em pessoa real para enganar o pessoal de verificação e se tornarem clientes genuínos. Eles então fazem depósitos reais. Com essa identidade de cliente como disfarce, eles implantam seletivamente cavalos de Troia personalizados para Mac ou Windows para funcionários oficiais e clientes (atacantes) durante a comunicação, obtendo permissões para se moverem lateralmente dentro da rede interna. Eles ficam à espreita por muito tempo para atingir o objetivo de roubar fundos.

O FBI dos EUA também está preocupado com grandes roubos no ecossistema de criptomoedas e declarou publicamente em um comunicado à imprensa que ele foi manipulado pelos hackers norte-coreanos Lazarus Group. A seguir está um comunicado de imprensa relevante do FBI em 2023 sobre o hacker norte-coreano Lazarus Group:

• Em 23 de janeiro, o FBI confirmou (https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft) Os hackers norte-coreanos Lazarus Group deveriam ser responsáveis pelo incidente do Harmony Hack.

• Em 22 de agosto, o FBI emitiu um aviso (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) afirmando que a organização hacker norte-coreana Hacks envolvendo Atomic Wallet, Alphapo e CoinsPaid roubou um total de US$ 197 milhões em criptomoedas.

• Em 6 de setembro, o FBI emitiu um comunicado à imprensa (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) confirmando que os hackers norte-coreanos Lazarus Group são responsáveis pelo roubo de US$ 41 milhões da plataforma de jogos de criptomoeda Stake.com.

Análise de métodos de lavagem de dinheiro

De acordo com a nossa análise, os métodos de lavagem de dinheiro dos hackers norte-coreanos Lazarus Group também continuaram a evoluir ao longo do tempo. Novos métodos de lavagem de dinheiro aparecerão de vez em quando. O calendário para alterações nos métodos de branqueamento de capitais é o seguinte:

Análise de perfil de gangue

Com base no forte apoio relacionado à inteligência dos parceiros da rede de inteligência InMist, a equipe SlowMist AML acompanhou e analisou os dados relacionados a esses incidentes roubados e ao grupo de hackers Lazarus Group, e então obteve um retrato parcial do grupo de hackers Lazarus Group:

• Muitas vezes usam a identidade europeia ou turca como disfarce.
• Dezenas de informações de IP, inúmeras informações de endereços de e-mail e algumas informações de identidade dessensibilizadas foram obtidas:
  • 111...49
  • 103...162
  • 103.. 0,205
  • 210...9
  • 103...29
  • 103...163
  • 154...10
  • 185...217

Escorredores de carteira

Nota: Esta seção foi escrita por Scam Sniffer, pelo qual gostaria de expressar minha gratidão.

Visão geral

Wallet Drainers, um tipo de malware relacionado a criptomoedas, alcançaram um “sucesso” notável no ano passado. Esses programas de software são implantados em sites de phishing para enganar os usuários e fazê-los assinar transações maliciosas, roubando assim ativos de suas carteiras de criptomoedas. Essas atividades de phishing visam continuamente usuários comuns de diversas formas, levando a perdas financeiras significativas para muitos que inadvertidamente assinam essas transações maliciosas.

Estatísticas de fundos roubados

Durante o ano passado, o Scam Sniffer detectou Wallet Drainers roubando quase US$ 295 milhões de aproximadamente 324.000 vítimas.

Tendências

Notavelmente, em 11 de março, quase US$ 7 milhões foram roubados, principalmente devido a flutuações na taxa de câmbio do USDC e a sites de phishing que se faziam passar pela Circle. Houve também um aumento significativo nos roubos por volta de 24 de março, coincidindo com o comprometimento do Discord da Arbitrum e os subsequentes eventos de lançamento aéreo.

Cada pico de roubos está associado a eventos em toda a comunidade, que podem ser lançamentos aéreos ou incidentes de hackers

Drenos de carteira notáveis

Depois que ZachXBT expôs Monkey Drainer, eles anunciaram sua saída após permanecerem ativos por 6 meses. Venom então assumiu a maior parte de sua clientela. Posteriormente, MS, Inferno, Angel e Pink surgiram por volta de março. Com o Venom encerrando as operações por volta de abril, a maioria dos grupos de phishing passou a usar outros serviços. Com uma taxa de 20% do Drainer, eles ganharam pelo menos US$ 47 milhões com a venda desses serviços.

Tendências de drenadores de carteira

A análise da tendência mostra que as atividades de phishing têm crescido consistentemente. Além disso, cada vez que um Drainer sai, um novo o substitui, como Angel emergindo como um substituto após o Inferno anunciar sua saída.

Como eles iniciam atividades de phishing?

Esses sites de phishing adquirem tráfego principalmente por meio de vários métodos:

• Ataques de hackers:
  • Projeto oficial Discord e contas do Twitter sendo hackeadas
  • Ataques no front-end de projetos oficiais ou nas bibliotecas que eles usam
• Tráfego Orgânico
  • Lançamento aéreo de NFTs ou tokens
  • Explorando links expirados do Discord
  • Lembretes de spam e comentários no Twitter
• Tráfego Pago
  • Pesquisa de anúncios do Google
  • Anúncios do Twitter

Embora os ataques de hackers tenham um amplo impacto, a comunidade geralmente reage prontamente, normalmente em 10 a 50 minutos. Em contraste, airdrops, tráfego orgânico, publicidade paga e exploração de links expirados do Discord são menos perceptíveis.

Assinaturas comuns de phishing

Diferentes tipos de ativos têm diferentes maneiras de iniciar assinaturas de phishing maliciosas. Acima estão alguns métodos comuns de assinatura de phishing para diferentes tipos de ativos. Os drenadores decidirão que tipo de assinatura de phishing maliciosa iniciar com base nos tipos de ativos que a carteira da vítima possui.

Por exemplo, no caso da exploração do signalTransfer da GMX para roubar tokens Reward LP, é evidente que as técnicas de phishing se tornaram altamente sofisticadas e adaptadas para ativos específicos.

Aumente o uso de contratos inteligentes

1) Multichamada

Começando com o Inferno, tem havido um foco maior no uso de tecnologia de contrato. Por exemplo, nos casos em que a divisão das taxas de transação exige duas transações separadas, o processo pode não ser suficientemente rápido. Isto poderia permitir que a vítima revogasse a autorização antes da segunda transferência. Para aumentar a eficiência, eles começaram a usar multichamadas para transferências de ativos mais eficazes.

2）CRIAR2 E CRIAR

Para contornar algumas verificações de segurança da carteira, eles também começaram a experimentar create2 ou create para gerar endereços temporários dinamicamente. Essa abordagem torna ineficazes as listas negras baseadas em carteiras e complica a pesquisa sobre atividades de phishing. Como não é possível saber para onde os ativos serão transferidos sem assinatura, e os endereços temporários não oferecem muito valor analítico, isso representa um desafio significativo. Isto marca uma mudança substancial em relação ao ano passado.

Site de phishing

A análise do número de sites de phishing revela um aumento mensal constante nas atividades de phishing, intimamente ligado à disponibilidade de serviços estáveis de drenagem de carteiras.

Os domínios usados por esses sites de phishing são registrados principalmente em registradores de domínios específicos. A análise dos endereços dos servidores mostra que a maioria usa o Cloudflare para ocultar a localização real dos servidores.

Ferramentas de lavagem de dinheiro

Sinbad

Sinbad é um misturador Bitcoin estabelecido em 5 de outubro de 2022. Ele oculta os detalhes da transação para ocultar o fluxo de fundos no blockchain.

O Departamento do Tesouro dos EUA descreve Sinbad como um “misturador de moeda virtual, uma ferramenta primária de lavagem de dinheiro para o grupo de hackers norte-coreano Lazarus, designado pela OFAC”. Sinbad administrou fundos dos incidentes de hackers Horizon Bridge e Axie Infinity e também transferiu fundos relacionados a atividades como “evasão de sanções, tráfico de drogas, compra de materiais relacionados à exploração sexual infantil e envolvimento em outras vendas ilegais no mercado dark web”. ”

Os hackers Alphapo (Grupo Lazarus) usaram Sinbad em seu processo de lavagem de dinheiro, como visto em transações como:

(https://oxt.me/transaction/2929e9d0055a431e1879b996d0d6f70aa607bb123d12bfad42e1f507d1d200a5)

Dinheiro Tornado

(https://dune.com/misttrack/mixer-2023)

Tornado Cash é um protocolo totalmente descentralizado e sem custódia que melhora a privacidade das transações ao quebrar o link da cadeia entre os endereços de origem e de destino. Para proteger a privacidade, o Tornado Cash usa um contrato inteligente que aceita depósitos de ETH e outros tokens de um endereço e permite saques para um endereço diferente, ou seja, enviar ETH e outros tokens para qualquer endereço de forma a ocultar o endereço de envio. .

Em 2023, os usuários depositaram um total de 342.042 ETH (aproximadamente US$ 614 milhões) no Tornado Cash e retiraram um total de 314.740 ETH (aproximadamente US$ 567 milhões) do Tornado Cash.

eXch

(https://dune.com/misttrack/mixer-2023)

Em 2023, os usuários depositaram um total de 47.235 ETH (aproximadamente US$ 90,14 milhões) na eXch, e um total de 25.508.148 stablecoins ERC20 (aproximadamente US$ 25,5 milhões) foram depositados na eXch.

Canhão elétrico

Railgun usa tecnologia criptográfica zk-SNARKs para tornar as transações completamente invisíveis. A Railgun “protege” os tokens do usuário dentro de seu sistema de privacidade, de modo que cada transação parece ser enviada do endereço do contrato da Railgun na blockchain.

No início de 2023, o FBI afirmou que o grupo de hackers norte-coreano Lazarus Group usou Railgun para lavar mais de US$ 60 milhões em fundos roubados da Harmony's Horizon Bridge.

Conclusão

Este artigo apresenta as atividades do grupo de hackers norte-coreano Lazarus Group no ano de 2023. A equipe de segurança do SlowMist monitora continuamente esse grupo de hackers e resumiu e analisou sua dinâmica e métodos de lavagem de dinheiro para criar um perfil do grupo. Em 2023, as gangues de pesca tornaram-se desenfreadas, causando enormes perdas financeiras à indústria blockchain. Essas gangues operam de forma coordenada, apresentando um padrão de “retransmissão” de ataques. Os seus ataques contínuos e em grande escala representam desafios significativos para a segurança da indústria. Gostaríamos de expressar nossa gratidão à plataforma antifraude Web3, Scam Sniffer, pela divulgação da gangue de phishing Wallet Drainers. Acreditamos que esta informação é de grande importância para a compreensão dos seus métodos de trabalho e situação de lucro. Por último, também fornecemos uma introdução às ferramentas de lavagem de dinheiro comumente usadas por hackers.

Baixe o relatório completo:

https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(EN).pdf

Isenção de responsabilidade:

1. Este artigo foi reimpresso de [SlowMist Technology]. Todos os direitos autorais pertencem ao autor original [slow fogsecurity team]. Se houver objeções a esta reimpressão, entre em contato com a equipe do Gate Learn e eles cuidarão disso imediatamente.
2. Isenção de responsabilidade: As opiniões e pontos de vista expressos neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
3. As traduções do artigo para outros idiomas são feitas pela equipe do Gate Learn. A menos que mencionado, é proibido copiar, distribuir ou plagiar os artigos traduzidos.