Анализ кибератак и отмывания денег со стороны северокорейской хакерской группы Lazarus Group
В последнее время секретный доклад ООН раскрыл последние действия северокорейской хакерской группы Lazarus Group. Эта организация в прошлом году украла средства из криптовалютной биржи, а в марте этого года отмыла 147,5 миллиона долларов через одну из виртуальных валютных платформ.
Наблюдатели Комитета санкций Совета Безопасности ООН проводят расследование 97 подозрительных кибератак северокорейских Хакеров на криптовалютные компании, произошедших с 2017 по 2024 год, общей суммой около 3,6 миллиарда долларов. Среди них был случай кражи 147,5 миллиона долларов у одной криптовалютной биржи в конце прошлого года, средства из которого затем были отмыты в марте этого года.
В 2022 году США наложили санкции на эту виртуальную валютную платформу. В следующем году двое соучредителей платформы были обвинены в содействии отмыванию денег на сумму более 1 миллиарда долларов, в том числе с участием связанной с Северной Кореей киберпреступной организации Lazarus Group.
Исследование эксперта по расследованию криптовалют показывает, что группа Lazarus отмыла 200 миллионов долларов США в криптовалюте в фиатные деньги с августа 2020 года по октябрь 2023 года.
Группа Лазаря долгое время обвиняется в проведении масштабных кибератак и финансовых преступлений. Их цели находятся по всему миру, от банковских систем до криптовалютных бирж, от государственных учреждений до частных компаний. В следующем разделе будет проанализировано несколько типичных случаев атак, которые раскрывают, как Группа Лазаря успешно осуществляет эти атаки с помощью своих сложных стратегий и технических средств.
Социальная инженерия и фишинг-атаки группы Lazarus
Lazarus ранее нацеливался на военные и аэрокосмические компании Европы и Ближнего Востока, размещая ложные объявления о вакансиях на социальных платформах для обмана сотрудников. Они требовали от соискателей загрузить PDF-файлы с вредоносными исполняемыми файлами, тем самым осуществляя фишинговую атаку.
Этот социальный инжиниринг и фишинг используют психологическую манипуляцию, чтобы заставить жертв расслабиться и выполнить операции, угрожающие безопасности, такие как нажатие на ссылки или загрузка файлов. Их вредоносное ПО может использовать уязвимости в системе жертвы для кражи чувствительной информации.
Лазарус использовал аналогичные методы в ходе шестимесячной операции против одного поставщика платежей в криптовалюте, что привело к краже 37 миллионов долларов у компании. В течение всего процесса они отправляли инженерам ложные предложения о работе, инициировали атаки распределенного отказа в обслуживании и пытались взломать пароли методом перебора.
Многочисленные атаки на криптовалютные биржи
С августа по октябрь 2020 года несколько криптовалютных бирж и проектов подверглись атакам:
24 августа 2020 года был украден кошелек одной из канадских криптовалютных бирж.
11 сентября 2020 года один проект из-за утечки приватного ключа привел к несанкционированному переводу 400 000 долларов с нескольких кошельков, контролируемых командой.
6 октября 2020 года горячий кошелек одной из торговых платформ подвергся несанкционированному переводу из-за уязвимости в безопасности, что привело к потере криптоактивов на сумму 750000 долларов США.
Эти атаки привели к тому, что средства в начале 2021 года были собраны на одном адресе. Затем злоумышленники внесли значительное количество ETH через сервис смешивания и постепенно выводили их в течение нескольких дней. К 2023 году эти средства после нескольких переводов и обменов в конечном итоге были собраны на другие адреса, связанные с безопасными событиями, и были отправлены на некоторые депозитные адреса.
Основатель одной из платформ взаимопомощи стал жертвой Хакера
14 декабря 2020 года личный счет основателя одной из платформ взаимопомощи был украден 370000 токенов платформы, стоимостью около 8,3 миллиона долларов.
Украденные средства перемещаются между несколькими адресами и обмениваются на другие активы. Группа Lazarus проводила операции по смешиванию, распределению и сбору средств через эти адреса. Часть средств была переведена через кросс-чейн в сеть биткойнов, затем обратно в сеть эфириума, после чего через платформу для смешивания происходило смешивание, и в конце отправлялись на платформу для вывода.
С 16 по 20 декабря 2020 года адрес, участвующий в деле, отправил более 2500 ETH в некий сервис по смешиванию. Через несколько часов другой связанный адрес начал операции по выводу средств.
Хакер через перемещение и обмен перевел часть средств на адрес вывода, связанный с предыдущими событиями. С мая по июль 2021 года злоумышленник перевел 11 миллионов USDT на один адрес депозита. С февраля по июнь 2023 года злоумышленник с разных адресов отправил в общей сложности 11,17 миллионов USDT на два разных адреса депозита.
Новые инциденты атак в 2023 году
В августе 2023 года произошли два новых инцидента с атаками:
Некоторый проект подвергся атаке, 624 ETH были украдены.
Другой проект подвергся атаке, 900 ETH были украдены.
В обеих случаях украденные средства были переведены в определенный сервис смешивания. Затем средства были выведены на три разных адреса и 12 октября собрались на одном новом адресе. В ноябре 2023 года этот адрес начал переводить средства, которые в конечном итоге были отправлены на два конкретных адреса для депозита через промежуточные переводы и обмен.
Резюме
Группа Lazarus после кражи криптоактивов в основном использует кросс-чейн операции и услуги смешивания токенов для сокрытия средств. После смешивания они выводят украденные активы на целевой адрес и отправляют на фиксированные группы адресов для вывода. Украденные криптоактивы обычно хранятся на определенных депозитных адресах, а затем обмениваются на фиатные деньги через услуги внебиржевой торговли.
Лицом к постоянным и масштабным атакам группы Lazarus, индустрия Web3 сталкивается с серьезными проблемами безопасности. Соответствующие учреждения продолжают следить за этой хакерской группой, отслеживать их действия и методы отмывания денег, чтобы помочь проектам, регуляторам и правоохранительным органам в борьбе с такими преступлениями и вернуть украденные активы.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
23 Лайков
Награда
23
8
Поделиться
комментарий
0/400
MetaMaskVictim
· 07-29 07:26
Однажды я выловил у них три токена, эти воры
Посмотреть ОригиналОтветить0
ChainBrain
· 07-28 23:32
Если подумать, становится немного страшно
Посмотреть ОригиналОтветить0
BlockchainTalker
· 07-27 18:43
честно говоря, Лазарь на следующем уровне в социальном инжиниринге, серьезно
Посмотреть ОригиналОтветить0
OldLeekMaster
· 07-27 18:41
Эти деньги, вероятно, снова пойдут на военные расходы Северной Кореи.
Посмотреть ОригиналОтветить0
DeadTrades_Walking
· 07-27 18:40
Снова король свитков из Северной Кореи
Посмотреть ОригиналОтветить0
WenAirdrop
· 07-27 18:28
Каждый день совершают преступления, но их так и не поймали.
Раскрытие методов атаки хакеров группы Lazarus: от социальной инженерии до отмывания денег криптоактивов
Анализ кибератак и отмывания денег со стороны северокорейской хакерской группы Lazarus Group
В последнее время секретный доклад ООН раскрыл последние действия северокорейской хакерской группы Lazarus Group. Эта организация в прошлом году украла средства из криптовалютной биржи, а в марте этого года отмыла 147,5 миллиона долларов через одну из виртуальных валютных платформ.
Наблюдатели Комитета санкций Совета Безопасности ООН проводят расследование 97 подозрительных кибератак северокорейских Хакеров на криптовалютные компании, произошедших с 2017 по 2024 год, общей суммой около 3,6 миллиарда долларов. Среди них был случай кражи 147,5 миллиона долларов у одной криптовалютной биржи в конце прошлого года, средства из которого затем были отмыты в марте этого года.
В 2022 году США наложили санкции на эту виртуальную валютную платформу. В следующем году двое соучредителей платформы были обвинены в содействии отмыванию денег на сумму более 1 миллиарда долларов, в том числе с участием связанной с Северной Кореей киберпреступной организации Lazarus Group.
Исследование эксперта по расследованию криптовалют показывает, что группа Lazarus отмыла 200 миллионов долларов США в криптовалюте в фиатные деньги с августа 2020 года по октябрь 2023 года.
Группа Лазаря долгое время обвиняется в проведении масштабных кибератак и финансовых преступлений. Их цели находятся по всему миру, от банковских систем до криптовалютных бирж, от государственных учреждений до частных компаний. В следующем разделе будет проанализировано несколько типичных случаев атак, которые раскрывают, как Группа Лазаря успешно осуществляет эти атаки с помощью своих сложных стратегий и технических средств.
Социальная инженерия и фишинг-атаки группы Lazarus
Lazarus ранее нацеливался на военные и аэрокосмические компании Европы и Ближнего Востока, размещая ложные объявления о вакансиях на социальных платформах для обмана сотрудников. Они требовали от соискателей загрузить PDF-файлы с вредоносными исполняемыми файлами, тем самым осуществляя фишинговую атаку.
Этот социальный инжиниринг и фишинг используют психологическую манипуляцию, чтобы заставить жертв расслабиться и выполнить операции, угрожающие безопасности, такие как нажатие на ссылки или загрузка файлов. Их вредоносное ПО может использовать уязвимости в системе жертвы для кражи чувствительной информации.
Лазарус использовал аналогичные методы в ходе шестимесячной операции против одного поставщика платежей в криптовалюте, что привело к краже 37 миллионов долларов у компании. В течение всего процесса они отправляли инженерам ложные предложения о работе, инициировали атаки распределенного отказа в обслуживании и пытались взломать пароли методом перебора.
Многочисленные атаки на криптовалютные биржи
С августа по октябрь 2020 года несколько криптовалютных бирж и проектов подверглись атакам:
Эти атаки привели к тому, что средства в начале 2021 года были собраны на одном адресе. Затем злоумышленники внесли значительное количество ETH через сервис смешивания и постепенно выводили их в течение нескольких дней. К 2023 году эти средства после нескольких переводов и обменов в конечном итоге были собраны на другие адреса, связанные с безопасными событиями, и были отправлены на некоторые депозитные адреса.
Основатель одной из платформ взаимопомощи стал жертвой Хакера
14 декабря 2020 года личный счет основателя одной из платформ взаимопомощи был украден 370000 токенов платформы, стоимостью около 8,3 миллиона долларов.
Украденные средства перемещаются между несколькими адресами и обмениваются на другие активы. Группа Lazarus проводила операции по смешиванию, распределению и сбору средств через эти адреса. Часть средств была переведена через кросс-чейн в сеть биткойнов, затем обратно в сеть эфириума, после чего через платформу для смешивания происходило смешивание, и в конце отправлялись на платформу для вывода.
С 16 по 20 декабря 2020 года адрес, участвующий в деле, отправил более 2500 ETH в некий сервис по смешиванию. Через несколько часов другой связанный адрес начал операции по выводу средств.
Хакер через перемещение и обмен перевел часть средств на адрес вывода, связанный с предыдущими событиями. С мая по июль 2021 года злоумышленник перевел 11 миллионов USDT на один адрес депозита. С февраля по июнь 2023 года злоумышленник с разных адресов отправил в общей сложности 11,17 миллионов USDT на два разных адреса депозита.
Новые инциденты атак в 2023 году
В августе 2023 года произошли два новых инцидента с атаками:
В обеих случаях украденные средства были переведены в определенный сервис смешивания. Затем средства были выведены на три разных адреса и 12 октября собрались на одном новом адресе. В ноябре 2023 года этот адрес начал переводить средства, которые в конечном итоге были отправлены на два конкретных адреса для депозита через промежуточные переводы и обмен.
Резюме
Группа Lazarus после кражи криптоактивов в основном использует кросс-чейн операции и услуги смешивания токенов для сокрытия средств. После смешивания они выводят украденные активы на целевой адрес и отправляют на фиксированные группы адресов для вывода. Украденные криптоактивы обычно хранятся на определенных депозитных адресах, а затем обмениваются на фиатные деньги через услуги внебиржевой торговли.
Лицом к постоянным и масштабным атакам группы Lazarus, индустрия Web3 сталкивается с серьезными проблемами безопасности. Соответствующие учреждения продолжают следить за этой хакерской группой, отслеживать их действия и методы отмывания денег, чтобы помочь проектам, регуляторам и правоохранительным органам в борьбе с такими преступлениями и вернуть украденные активы.