APT38: Lazarus如何加大对加密货币的攻击并改变策略

admin
admin
admin
138733
文章
114
评论
2023年9月19日14:33:44评论11 views字数 2032阅读6分46秒阅读模式

    朝鲜黑客组织Lazarus最近似乎加大了行动力度,自6月3日以来已确认对加密实体进行了四次攻击。现在,他们被怀疑在进行第五次攻击,这次的目标是9月12日的CoinEx。对此,CoinEx发布了多条推文,表示可疑钱包地址仍在识别中,因此被盗资金的总价值尚不清楚,但目前据称约为5400万美元。

在过去的104天里,已确认Lazarus分别从Atomic Wallet(1亿美元)、CoinsPaid(3730万美元)、Alphapo(6000万美元)和Stake.com(4100万美元)窃取近2.4亿美元的加密资产。

APT38: Lazarus如何加大对加密货币的攻击并改变策略

如上图所示,Elliptic分析证实,从CoinEx窃取的一些资金被发送到一个地址,该地址被Lazarus用来洗钱从Stake.com窃取的资金,尽管是在不同的区块链上。此后,资金通过Lazarus之前使用的桥接至以太坊,然后发送回已知由CoinEx黑客控制的地址。Elliptic曾在Lazarus事件中观察到这种来自不同黑客的资金混合情况最近一次是从Stake.com窃取的资金与从Atomic钱包窃取的资金混合重叠。这些来自不同黑客的资金被合并的情况在下图中以橙色表示。

APT38: Lazarus如何加大对加密货币的攻击并改变策略

鉴于这种区块链活动,并且没有任何信息表明CoinEx的黑客攻击是由任何其他威胁组织实施的情况下,Elliptic同意Lazarus应该被怀疑涉嫌盗窃CoinEx资金。

104天内发生了5次Lazarus攻击

    在2022年,几起备受瞩目的黑客攻击都被归咎于Lazarus,包括对Harmony的Horizon bridge和Axie Infinity的Ronin bridge的攻击,这两起攻击都发生在去年上半年。从那时到今年6月,没有任何重大的加密货币盗窃案被公开归咎于Lazarus。因此,过去104天的各种黑客攻击表明,这个朝鲜威胁组织的活动升级了。

  • 在2023年6月3日,Atomic Wallet(一个非托管的去中心化加密货币钱包)的用户损失了超过1亿美元。在确定多个因素后,Elliptic将此次黑客攻击归咎于Lazarus,时间是2023年6月6日。这一说法后来得到了联邦调查局(FBI)的证实。

  • 2023年7月22日,Lazarus通过社会工程攻击成功的获得了属于加密支付平台CoinsPaid的热钱包。这种访问允许攻击者创建授权请求,从平台的热钱包中提取大约3730万美元的加密资产。7月26日,CoinsPaid发布了一份报告,声称Lazarus对此次袭击负责。这一说法后来得到了联邦调查局的证实。

  • 同一天7月22日,Lazarus又进行了一次备受瞩目的攻击,这次是针对中心化加密支付提供商Alphapo,窃取了6000万美元的加密资产。攻击者可能通过之前泄露的私钥获得了访问权限。如上所述,联邦调查局(FBI)后来将这次攻击归咎于Lazarus

  • 2023年9月4日,在线加密货币赌场Stake.com遭受了一次攻击,其中大约4100万美元的虚拟货币被盗,原因可能是由于私钥被盗。美国联邦调查局(FBI)于9月6日发布了一份新闻稿,确认Lazarus组织是此次攻击的幕后黑手。

  • 最后,在2023年9月12日,中心化加密货币交易所CoinEx成为黑客攻击的受害者,其中5400万美元被盗。如上所述,多种因素表明Lazarus对此次攻击负责。


改变策略?

    对Lazarus最新活动的分析表明,自去年以来,他们已将重点从去中心化服务转向中心化服务。前面讨论的五次黑客攻击中有四次是针对中心化虚拟资产服务提供商的。在去中心化金融(DeFi)生态系统迅速崛起之前,中心化交易所曾是Lazarus在2020年之前的首选目标。

对于Lazarus的注意力再次转向中心化服务的原因,有很多可能的解释:

  1. 加强对安全的关注: Elliptic之前对2022年DeFi黑客攻击的研究发现,每四天就会发生一次攻击,每次攻击平均窃取3260万美元。跨链桥梁(Cross-chain bridges)在2022年初是一种相对较新的服务形式,成为最常被黑客攻击的DeFi协议类型之一。这些趋势可能会促使智能合约审计和开发标准的改进,从而减少黑客识别和利用漏洞的范围。

  2. 易受社会工程的影响: 对于许多黑客攻击,Lazarus的攻击方法选择社会工程。例如Ronin Bridge遭到5.4亿美元的黑客攻击,原因是领英(LinkedIn)虚假的工作招聘机会。然而,去中心化服务往往拥有较小的劳动力,而且–顾名思义–在不同程度上是去中心化的。因此,获得对开发人员的恶意访问权限不一定等同于获得对智能合约的管理访问权限。

与此同时,中心化交易所可能会雇用更多的员工,从而扩大可能的目标范围。他们还可能使用集中的内部信息技术系统进行操作,从而使Lazarus恶意软件有更大的机会渗透到他们业务的预期功能中。

原文始发于微信公众号(Matrix SEC):APT38: Lazarus如何加大对加密货币的攻击并改变策略

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年9月19日14:33:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   APT38: Lazarus如何加大对加密货币的攻击并改变策略https://cn-sec.com/archives/2049395.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息