报告解读之朝鲜黑客、钓鱼团伙及洗钱工具分析

Lazarus Group

2023 年动态

根据 2023 年的公开信息，截止到 6 月份，仍然没有任何重大加密货币盗窃案被归因为朝鲜黑客 Lazarus Group。从链上活动来看，朝鲜黑客 Lazarus Group 主要在清洗 2022 年盗窃的加密货币资金，其中包括 2022 年 6 月 23 日 Harmony 跨链桥遭受攻击损失的约 1 亿美元的资金。

后续的事实却表明，朝鲜黑客 Lazarus Group 除了在清洗 2022 年盗窃的加密货币资金以外，其他的时间也没有闲着，这个黑客团伙在黑暗中蛰伏着，暗中地进行 APT 相关的攻击活动。这些活动直接导致了从 6 月 3 日开始的加密货币行业的 “黑暗 101 日”。

在 “黑暗 101 日” 期间，共计有 5 个平台被盗，被盗金额超 3 亿美元，其中被盗对象多为中心化服务平台。

9 月 12 日左右，慢雾联合合作伙伴发现黑客团伙 Lazarus Group 定向对加密货币行业进行的大规模 APT 攻击活动。攻击手法如下：首先是进行身份伪装，通过实人认证骗过审核人员并成为真实客户，而后真实入金存款。在此客户身份掩护下，在之后多个官方人员和客户（攻击者）沟通时间点上针对性地对官方人员精准投放 Mac 或 Windows 定制木马，获得权限后进行内网横向移动，长久潜伏从而达到盗取资金的目的。

美国 FBI 同样关注着加密货币生态的重大盗窃案，并在新闻稿中公开说明由朝鲜黑客 Lazarus Group 操纵的事件。以下是 FBI 于 2023 年发布的关于朝鲜黑客 Lazarus Group 的相关新闻稿：

1 月 23 日，FBI 确认(https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft) 朝鲜黑客 Lazarus Group 应该对 Harmony Hack 事件负责。

8 月 22 日，美国联邦调查局(FBI) 发布通告(https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) 称，朝鲜黑客组织涉及 Atomic Wallet、 Alphapo 和 CoinsPaid 的黑客攻击，共窃取 1.97 亿美元的加密货币。

9 月 6 日，美国联邦调查局(FBI) 发布新闻稿(https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk)，确认朝鲜黑客 Lazarus Group 应对 Stake.com 加密货币赌博平台被盗 4100 万美元事件负责。

洗钱方式分析

根据我们的分析，朝鲜黑客 Lazarus Group 的洗钱方式也随着时间在不断进化，隔一段时间就会有新型的洗钱方式出现，洗钱方式变化的时间表如下表：

团伙画像分析

基于 InMist 情报网络合作伙伴的大力情报相关支持，慢雾 AML 团队对这些被盗事件与黑客团伙 Lazarus Group 相关的数据进行跟进分析，进而得出黑客团伙 Lazarus Group 的部分画像：

常使用欧洲人、土耳其人的身份作为伪装。

已经掌握到的数十个 IP 信息、十数个邮箱信息及部分脱敏后身份信息：

111.*.*.49

103.*.*.162

103.*.*.205

210.*.*.9

103.*.*.29

103.*.*.163

154.*.*.10

185.*.*.217

Wallet Drainers

注：本小节由 Scam Sniffer 倾情撰写，在此表示感谢。

概览

Wallet Drainers 作为一种加密货币相关的恶意软件，在过去的一年里取得了显著的"成功"。这些软件被部署在钓鱼网站上，骗取用户签署恶意交易，进而盗取其加密货币钱包中的资产。这些钓鱼活动以多种形式不断地攻击普通用户，导致许多人在无意识地签署恶意交易后遭受了重大财产损失。

被盗统计

在过去一年，Scam Sniffer 监控到 Wallet Drainers 已经从大约 32 万受害者中盗取了将近 2.95 亿美金的资产。

被盗趋势

值得一提的是，3 月 11 号这一天有接近 700 万美金被盗。大部分是因为 USDC 汇率波动，遭遇了假冒 Circle 的钓鱼网站。也有大量的被盗临近 3 月 24 号 Arbitrum 的 Discord 被黑以及后续的空投。

每次波峰都伴随着关联群体性事件。可能是空投，也可能是黑客事件。

值得注意的 Wallet Drainers

随着 ZachXBT 揭露 Monkey Drainer 后，他们在活跃了 6 个月后宣布退出，然后 Venom 接替了他们的大部分客户。随后 MS, Inferno, Angel, Pink 也都在 3 月份左右出现。随着 Venom 在 4 月份左右停止服务，大部分的钓鱼团伙转向了使用其他的服务。按照 20% 的 Drainer 费用，他们通过出售服务获利至少 4700 万美金。

Wallet Drainers 趋势

通过分析趋势可以发现，钓鱼活动相对来讲一直在持续增长。而且在每一个 Drainer 退出后都会有新的 Drainer 替代他们，比如近期在 Inferno 宣布退出后，Angel 似乎成为了新的替代品。

他们是如何发起钓鱼活动的？

钓鱼网站获取流量的方式可以大致主要分为几类：

黑客攻击

官方项目 Discord 和 Twitter 被黑

官方项目前端或使用的库被攻击

自然流量

空投 NFT 或 Token

Discord 链接失效被占用

Twitter 垃圾提醒和评论

付费流量

Google 搜索广告

Twitter 广告