朝鲜APT LAZARUS组织重返TORNADO CASH清洗被盗资金

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

朝鲜APT Lazarus 组织涉嫌再次使用混合器平台 Tornado Cash 洗钱 2300 万美元。 

据报道，与朝鲜有关的Lazarus APT 组织已恢复使用混合器平台Tornado Cash洗钱 2300 万美元。

区块链网络安全公司 Elliptic 将 2023 年 11 月发生的HTX 交易所 1.125 亿美元盗窃案与朝鲜组织联系起来。Elliptic 报告称，在过去一天中，该组织通过 Tornado Cash 从这次攻击中洗钱了超过 2300 万美元。

2022 年 8 月，美国财政部外国资产控制办公室 (OFAC)制裁了 与朝鲜有关的 Lazarus APT 集团使用的加密货币混合器服务 Tornado Cash  。

混合器是网络犯罪分子进行洗钱活动必不可少的组件，用于清洗从受害者那里窃取的资金。

在 OFAC 宣布制裁之时，Tornado Cash 自 2019 年成立以来已用于洗钱价值超过 70 亿美元的虚拟货币。Lazarus APT 集团在迄今为止已知的最大虚拟货币抢劫案中洗钱了超过 4.55 亿美元。Tornado Cash 还用于洗钱 2022 年 6月 24 日Harmony Bridge抢劫案中窃取的恶意网络行为者的 9600 多万美元资金 ，以及最近Nomad 加密货币抢劫案 中至少 780 万美元的资金 。然而，尽管受到制裁，Tornado Cash 从未中断过其运营。

为了应对制裁，Lazarus 转向了混合器 Sinbad.io，但这项服务于 2023 年 11 月被美国当局查封。

研究人员指出，该混合器通过去中心化区块链上的智能合约进行运行，使其不容易受到查封和关闭，例如导致中心化混合器 Sinbad.io 被查封的事件。

Elliptic 发布的报告称：“Lazarus Group 现在似乎又开始使用 Tornado Cash 来大规模洗钱和混淆交易踪迹。自 2024 年 3 月 13 日以来，HTX/HECO 盗窃案中超过 2300 万美元的 ETH 已通过 60 多笔交易转入 Tornado Cash 。 ”

“由于执法部门取缔了 Sinbad.io 和 Blender.io 等服务，这种行为的改变和重新使用 Tornado Cash 可能反映了目前运营的大型混合器数量有限。”

建议加密货币交易所和金融机构使用钱包筛选解决方案等工具，以防止与 Tornado Cash 和 Lazarus Group 等受制裁实体进行交易。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：朝鲜APT LAZARUS组织重返TORNADO CASH清洗被盗资金