SharkTeam：起底朝鲜APT组织Lazarus Group，攻击手法及洗钱模式

自2017年以来，Lazarus Group开始对加密行业进行攻击，并获利至少10亿美元。

国家级 APT（Advanced Persistent Threat，高级持续性威胁）组织是有国家背景支持的顶尖黑客团伙，专门针对特定目标进行长期的持续性网络攻击。朝鲜 APT 组织 Lazarus Group 就是非常活跃的一个 APT 团伙，其攻击目的主要以窃取资金为主，堪称全球金融机构的最大威胁，近年来多起加密货币领域的攻击和资金窃取案件就是他们所为。

一、Lazarus Group

据维基百科资料，Lazarus Group 成立于 2007 年，隶属于北韩人民军总参谋部侦察总局第三局旗下的 110 号研究中心，专门负责网络战。该组织分为 2 个部门，一个是大约 1700 名成员的 BlueNorOff（也称为 APT 38），负责通过伪造 SWIFT 订单进行非法转账，专注于利用网络漏洞谋取经济利益或控制系统来实施金融网络犯罪，此部门针对金融机构和加密货币交易所。另一个是大约 1600 名成员的 AndAriel，以韩国为攻击目标。

已知 Lazarus Group 最早的攻击活动是 2009 年其利用 DDoS 技术来攻击韩国政府的「特洛伊行动」。而最著名的一次是 2014 年对索尼影业的攻击，原因是索尼上映关于暗杀朝鲜领导人金正恩的喜剧。

该组织旗下机构 BlueNorOff 的一次知名攻击是 2016 年的孟加拉国银行攻击案，他们试图利用 SWIFT 网络从属于孟加拉国中央银行的纽约联邦储备银行账户非法转移近 10 亿美元。在完成了几笔交易（2000 万美元追踪到斯里兰卡， 8100 万美元追踪到菲律宾）后，纽约联邦储备银行以拼写错误引起的怀疑为由阻止了其余交易。

自 2017 年以来，该组织开始对加密行业进行攻击，并获利至少 10 亿美元。

二、技战法分析

2.1 常用攻击手法分析

Lazarus 早期多利用僵尸网络对目标进行 DDos 攻击；目前主要攻击手段转为鱼叉攻击、水坑攻击、供应链攻击等手法，还针对不同人员采取定向社会工程学攻击。

• 战术特征：

（1）使用邮件鱼叉攻击和水坑攻击

（2）攻击过程会利用系统破坏或勒索应用干扰事件的分析

（3）利用 SMB 协议漏洞或相关蠕虫工具实现横向移动和载荷投放

（4）攻击银行 SWIFT 系统实现资金盗取

• 技术特征：

（1）使用多种加密算法，包括 RC 4 ，AES， Spritz 等标准算法，也使用 XOR 及自定义字符变换算法

（2）主要使用虚假构造的 TLS 协议，通过在 SNI record 中写入白域名来 Bypass IDS。也使用 IRC、HTTP 协议

（3）通过破坏 MBR、分区表或者向扇区写入垃圾数据从而破坏系统

（4）使用自删除脚本

• 攻击手段：

（1）鱼叉攻击：鱼叉攻击是计算机病毒术语，是黑客攻击方式之一。将木马程序作为电子邮件的附件，并起上一个极具诱惑力的名称，发送给目标电脑，诱使受害者打开附件，从而感染木马。Lazarus 通常以邮件夹带恶意文档作为诱饵，常见文件格式为 DOCX，后期增加了 BMP 格式。入侵方式主要利用恶意宏与 Office 常见漏洞、 0 day 漏洞、植入 RAT 的手法。

（2）水坑攻击：顾名思义，是在受害者必经之路设置了一个“水坑(陷阱)”，最常见的做法是，黑客分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的弱点，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就会“中招”。Lazarus 通常针对贫穷的或欠发达地区的小规模银行金融机构使用水坑攻击，这样就可以在短时间内大范围盗取资金。2017 年，Lazarus 对波兰金融监管机构发动水坑攻击，在网站官方网站植入恶意的 JavaScript 漏洞，导致波兰多家银行被植入恶意程式。此次攻击感染了 31 个国家的 104 个组织，大多数目标是位于波兰、智利、美国、墨西哥和巴西的金融机构。

（3）社工攻击：社会工程攻击，是一种利用"社会工程学" 来实施的网络攻击行为。在计算机科学中，社会工程学指的是通过与他人的合法地交流，来使其心理受到影响，做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。Lazarus 擅长将社工技术运用到攻击周期中，无论是投递的诱饵还是身份伪装，都令受害者无法甄别，从而掉入它的陷阱中。2020 年期间，Lazarus 在领英网站伪装招聘加密货币工作人员并发送恶意文档，旨在获取凭证从而盗取目标加密货币。2021 年，Lazarus 以网络安全人员身份潜伏在  Twitter Twitter Twitter是源于美国的社群网路服务平台。2022年10月27日，马斯克完成了对推特的收购案并将其并入了新成立的“X”公司。据马斯克此前的推特信息，他将会创建一个包含一切的应用程序，并提到购买Twitter可以加速实现这一愿望。  中，伺机发送嵌有恶意代码的工程文件攻击同行人员。

• 武器库：

Lazarus 使用的网络武器中包含大量定制工具，并且使用代码有很多相似之处。肯定地说，这些软件来自相同的开发人员，可以说明 Lazarus 背后有具有一定规模的开发团队。Lazarus 拥有的攻击能力和工具包括 DDoS botnets、 keyloggers、 RATs、wiper malware，使用的恶意代码包括 Destover、Duuzer 和 Hangman 等。

2.2 典型攻击事件分析

下面以一起典型的 Lazarus 针对加密行业的鱼叉攻击为例进行分析。Lazarus 通过邮件附件或链接的方式，诱导目标工作人员下载恶意压缩包，并执行压缩包中的恶意文件。

邮件末尾的“CoinbaseJobDescription”即为恶意链接并诱导用户点击，一旦点击用户就会下载恶意压缩包，并执行压缩包中的恶意文件。压缩包分为三种情况：

（1）释放加密的诱饵文件和一个带有恶意命令的 LNK 文件，由 LNK 文件下载后续载荷，后续载荷释放文件密钥和恶意脚本；

（2）释放 LNK 文件，LNK 文件下载后续载荷，后续载荷释放诱饵文件和恶意脚本；

（3）释放带宏的 OFFICE 文件，由恶意宏下载后续载荷并执行。

以样本b94a13586828f8f3474f7b89755f5e7615ff946efd510a4cca350e6e1b4af440为例进行分析。该样本文件名为 Ledger_Nano_S&X_Security_Patch_Manual.zip，是一个 zip 压缩包，文件名中的 LedgerNano 是一款硬件钱包，用于保护加密资产，S 和 X 是其型号。

该样本伪装成 LedgerNano 的安全补丁手册，解压后会释放一个伪装成 pdf 文件的快捷方式文件：

用户双击该快捷方式后，会执行命令：

该命令中，使用 cmd 静默执行 expand 程序，将 msiexec.exe 复制到%appdata%\pat.exe 路径下，然后使用 pcalua.exe 打开 pat.exe，从远程服务器上下载 msi 文件并执行。这个过程中使用了多种逃避木马检测的技术：

（1）expand.exe 是系统用于解压压缩包的程序，但可以被用来进行文件复制，代替敏感的 copy 命令；

（2）复制并重命名 msiexec.exe，以逃避对 msiexec.exe 的执行检测；

（3）pcalua.exe 是 windows 程序兼容性助手，是系统的白名单程序，攻击者使用该程序调用重命名为 pat.exe 的 msiexec.exe，访问远程服务器上的恶意 msi 文件，从而逃避检测。

获取到的 MSI 文件运行后，会执行内嵌的脚本：

该脚本为 Lazarus 典型的一阶段脚本，其功能包括：

（1）下载并打开正常的 PDF 文件从而迷惑受害者；

（2）向启动目录释放  Edge Edge 点对点无服务器基础架构，由区块链技术提供支持，并使用我们周围的备用容量构建。云的未来是边缘。 .lnk 文件，完成自启动；lnk 文件执行的命令与样本解压后的 lnk 文件基本相同，也是使用 pcalua.exe 调用重命名后的 msiexec.exe 加载远程服务器上的 msi 文件；该文件的名称和图标都伪装为 Edge 浏览器，使受害者降低警惕；

（3）调用 WMI 命令获取进程名称列表并进行拼接，然后检查如下进程名称：

“kwsprot”：金山毒霸相关进程

“npprot”：Net ProtectorAntiVirus 相关进程

“fshoster”：F- Secure Secure $SCR 是一种去中心化的储备货币，不受挂钩约束。解决流动性所有权问题。带有扭曲的香草 OHM。  相关进程

（4）如果拼接后的进程名称中存在上述字符串之一，则会使用 cscript.exe 执行后续脚本，否则使 npprot 用 wscript.exe；

（5）将选定的脚本执行程序复制到%public%目录下；并且如果进程名称中存在 kwsprot 或 npprot，会将用于执行脚本的程序重命名为 icb.exe，以逃避检测；

（6）解码 base 64 编码的后续脚本，释放到临时文件夹下，命名为 RgdASRgrsF.js

（7）使用复制到%public%目录下的脚本执行程序，执行 RgdASRgrsF.js

RgdASRgrsF.js 是 Lazarus 典型的二阶段脚本，其功能非常简单，生成随机的 UID 后与服务器通讯，然后循环接受服务器的命令并执行；所执行的命令通常一些收集系统信息的命令：

至此攻击已经完成，黑客可以在用户电脑上获得他所需的文件或密码等敏感信息。通过对 Lazarus 可以发现，目前其攻击的目标行业包括政府、军队、金融、核工业、化工、医疗、航空航天、娱乐媒体和加密货币，从 2017 年开始加密货币行业的比重明显增大。

三、洗钱模式分析

目前已明确统计到的 Lazarus 攻击加密领域的安全事件和损失如下：

超过 30 亿美元的资金在网络攻击中被 Lazarus 盗取，据悉，Lazarus 黑客组织背后有着朝鲜战略利益的支撑，为朝鲜的核弹、弹道导弹计划提供资金。为此，美国宣布悬赏 500 万美元，对 Lazarus 黑客组织进行制裁。美国财政部也已将相关地址添加到 OFAC 特别指定国民（SDN）名单中，禁止美国个人、实体和相关地址进行交易，以确保国家资助的集团无法兑现这些资金，以此进行制裁。以太坊开发商 Virgil Griffith 因帮助朝鲜使用虚拟货币逃避制裁而被判处五年零三个月的监禁,今年 OFAC 也制裁了三名与 Lazarus Group 相关人员，其中两名被制裁者 Cheng Hung Man 和 Wu Huihui 是为 Lazarus 提供加密货币交易便利的场外交易 (OTC) 交易员，而第三人 Sim Hyon Sop 提供了其他财务支持。

尽管如此，Lazarus 已完成了超 10 亿美元的资产转移和清洗，他们的洗钱模式分析如下。以  Atomic Atomic Wallet 事件为例，去除黑客设置的技术干扰因素后（大量的假代币转账交易 多地址分账），可以得到黑客的资金转移模式：

图：Atomic Wallet 受害者 1 资金转移视图

受害者 1 地址0x b 0 2d...c 6072 向黑客地址0x 3916...6340 转移 304.36 ETH，通过中间地址0x 0159...7 b 70 进行 8 次分账后，归集至地址0x 69 ca...5324 。此后将归集资金转移至地址0x 514 c...58 f 67 ，目前资金仍在该地址中，地址 ETH 余额为 692.74 ETH（价值 127 万美元）。

图：Atomic Wallet 受害者 2 资金转移视图

受害者 2 地址0x0b45...d662 向黑客地址0xf0f7...79b3 转移 126.6 万 usdt，黑客将其分成三笔，其中两笔转移至  Uniswap Uniswap UNI 是 Uniswap 的治理代币，Uniswap 是以太坊区块链上的自动市场标记 DEX。 UNI 代币允许代币持有者参与协议的治理。可以通过治理投票来决定关键决策，例如使用国库或未来升级。 ，转账总额为 126.6 万 usdt；另一笔向地址0x49ce...80fb 进行转移，转移金额为 672.71 ETH。受害者 2 向黑客地址0x0d5a...08c2 转移 2.2 万 usdt，该黑客通过中间地址0xec13...02d6 等进行多次分账，直接或间接将资金归集至地址0x3c2e...94a8 。

这种洗钱模式与之前的  Ronin Ronin Ronin 是专为游戏打造的 EVM 区块链。Ronin 由 Web3 突破性游戏《Axie Infinity》的创造者 Sky Mavis 推出，该游戏已产生超过 1.3 亿美元的收入，Ronin 是唯一一个被证明可以扩展单个游戏以容纳数百万日常活跃用户的区块链，并已处理超过 40 亿美元的 NFT 交易量。Ronin 针对近乎即时的交易和可忽略不计的费用进行了优化，使数以百万计的游戏内交易能够无缝发生，使其成为 Web3 游戏的首选。 Network、 Harmony Harmony Harmony是一个去中心化的、快速安全的高性能区块链。主网支持4个分片，1000个节点，每2秒即可最终确认交易并出块。独有的有效权益证明机制（EPoS）减少了抵押的中心化风险，同时支持代币委托和区块奖励的复利。同时，EPoS是第一个在分片系统中实现双重签名惩罚的抵押机制，可以有效保护Harmony区块链的安全性。Harmony 的整体架构和以太坊 2.0 类似，由信标链和分片链组成。经过研究， Harmony 在共识、分片和网络上都有一定的技术创新：共识：使用 BLS 多重签名对 PBFT 进行改进，实现可扩展的 FBFT 共识。分片：通过 VRF 和 VDF 融合的分布式随机生成，以及自适应的 PoS 提高分片的安全性。网络：利用纠删码和 Kademlia 路由提升网络性能。  攻击事件中的洗钱模式高度一致，均包含三个步骤：

（1）被盗资金整理兑换：发起攻击后整理原始被盗代币，通过 dex 等方式将多种代币 swap 成 ETH。这是规避资金冻结的常用方式。

（2）被盗资金归集：将整理好的 ETH 归集到数个一次性钱包地址中。Ronin 事件中黑客一共用了 9 个这样的地址，Harmony 使用了 14 个，Atomic Wallet 事件使用了近 30 个地址。

（3）被盗资金转出：使用归集地址通过 Tornado.Cash 将钱洗出。这便完成了全部的资金转移过程。

除了具备相同的洗钱步骤，在洗钱的细节上也有高度的一致性：

（1）攻击者非常有耐心，均使用了长达一周的时间进行洗钱操作，均在事件发生几天后开始后续洗钱动作。

（2）洗钱流程中均采用了自动化交易，大部分资金归集的动作交易笔数多，时间间隔小，模式统一。

通过分析，我们认为 Lazarus 的洗钱模式通常如下：

（1）多账号分账、小额多笔转移资产，提高追踪难度。

（2）开始制造大量假币交易，提高追踪难度。以 Atomic Wallet 事件为例， 27 个中间地址中有 23 个账户均为假币转移地址，近期在对 Stake.com 的事件分析中也发现采用类似技术，但之前的 Ronin Network、Harmony 事件并没有这种干扰技术，说明 Lazarus 的洗钱技术也在升级。

（3）更多的采用链上方式（如 Tonado Cash）进行混币，早期的事件中 Lazarus 经常使用中心化交易所获得启动资金或进行后续的 OTC，但近期越来越少的使用中心化交易所，甚至可以认为是可以的避免使用中心化交易所，这与近期的几起制裁事件应该有关。

About Us

SharkTeam SharkTeam SharkTeam 是 Web3 安全服务提供商。提供智能合约审计、链分析和应急响应服务。SharkTeam 的智能合约审计服务旨在帮助组织识别和减轻其智能合约中的潜在安全风险。审计过程包括对智能合约代码的详细分析，以发现任何可能导致恶意攻击或利用的漏洞或缺陷。  的愿景是保护Web3世界的安全。团队由来自世界各地的经验丰富的安全专业人士和高级研究人员组成，精通区块链和智能合约底层理论。提供包括链上大数据分析、链上风险预警、智能合约审计、加密资产追讨等服务，并打造了链上大数据分析和风险预警平台 ChainAegis，平台支持无限层级的深度图分析，能有效对抗Web3世界的新型高级持续性盗窃(Advanced Persistent Theft，APT)风险。已与Web3生态各领域的关键参与者,如  Polkadot Polkadot Polkadot 是一种开源的分片多链协议，它将多个区块链平台联合成一个统一的、可扩展的网络，不仅是代币任何数据或资产类型都可以跨链传输，从而使各种区块链可以相互操作。这种互操作性旨在建立一个完全去中心化的专有网络，由其用户控制，并简化新应用程序、机构和服务的创建。Polkadot 协议连接公链、私有链、免许可网络、预言机和未来可能出现的任何网络，允许这些独立的区块链通过 Polkadot 中继链无信任地共享信息和交易。简单来说，Polkadot 是一个“区块链的区块链”，允许许多不同类型的链在同一个生态系统中安全地工作和交互。 、Moonbeam、polygon、 欧意 欧意 欧意是一家旨在构建 Web3未来的领先科技公司，其开发出速度与可靠性兼备的加密货币交易应用程式，深受全球投资者及专业交易员的青睐。欧意是全球交易量排名第二大的加密货币交易所，深受超过五千万用户的信赖。欧意推出领先行业的自我托管解决方案，包括兼容Web3的欧意钱包，让用户更好地控制其资产，同时能连接DEX、NFT市场、DeFi、GameFi和数以千计的dapp。欧意与许多世界顶级品牌和运动员合作，包括英格兰超级足球联赛冠军曼彻斯特城足球俱乐部（Manchester City F.C.）、麦拿伦一级方程式车队（McLaren F1 Team）、翠贝卡电影节（Tribeca Film Festival）、高尔夫球选手Ian Poulter、奥运会单板滑雪选手Scotty James以及F1车手Daniel Ricciardo。欧意 致力提高透明度和安全性，并每月发布其储备金证明报告。 、 火网 火网 火网成立于2013年，从一个加密货币交易所发展成为一个全面的区块链业务生态系统，涵盖了数字资产交易、金融衍生品、钱包、研究、投资、孵化和其他业务。火网是全球数字经济领域的领导者。火网的全球业务覆盖五大洲160多个国家，拥有数千万的用户，在20多个国家设有办事处，拥有2000多名员工。火网的全球能力使用户得到更安全、可靠的服务。火网战略围绕着三大关键因素：全球化、多元化、科技向善。火网通过进一步推动区块链技术与传统行业的融合，寻求在整个区块链行业实现核心技术的突破，火必将继续深耕中心化平台技术，进一步加强虚拟资产管理能力，与同行共商互鉴，共同创建全球Web3门户。 Global、 imToken imToken 一个功能丰富的数字钱包，用于安全管理加密资产 、 ChainIDE ChainIDE  等建立长期合作关系。

官网：https://www.sharkteam.org

本文 原创，转载保留链接！网址：https://licai.bangqike.com/lzs/141983.html