SGR:揭秘朝鮮黑客組織Lazarus Group：Ronin、KuCoin等多起被盜事件幕后黑手

作者：餅干，鏈捕手黑客攻擊如今已然成為加密生態中的常態化事件，據Chainalysis2022年Q1報告顯示，黑客在2021年盜取價值32億美元的加密資產，但在2022年前三個月，黑客從交易所、DeFi協議和普通用戶盜取約13億美元加密資產，其中97%來自DeFi協議。

而在一眾黑客組織中，又以朝鮮黑客組織LazarusGroup近期最受關注。根據美國財政部報告，該組織正是損失高達6.2億美元的Ronin跨鏈橋被盜事件的幕后黑手，其以太坊地址已經納入美國制裁名單。此前，該組織被認為是Bithumb、KuCoin等諸多加密貨幣交易所被盜事件的主導者，并且手法多為釣魚攻擊。如今，LazarusGroup儼然正在成為加密生態最具破壞性的黑客組織之一。那么這個組織究竟是如何形成的？它們通常又是如何作案的？LazarusGroup簡介

據維基百科資料，LazarusGroup成立于2007年，隸屬于北韓人民軍總參謀部偵察總局第三局旗下的110號研究中心，專門負責網絡戰。該組織從國內挑選最聰明的學生接受六年的特殊教育，培養其將各種類型的惡意軟件部署到計算機和服務器的能力，朝鮮國內的金日成大學、KimChaek科技大學和Moranbong大學提供相關教育。該組織分為2個部門，一個是大約1700名成員的BlueNorOff，負責通過偽造SWIFT訂單進行非法轉賬，專注于利用網絡漏洞謀取經濟利益或控制系統來實施金融網絡犯罪，此部門針對金融機構和加密貨幣交易所。另一個是大約1600名成員的AndAriel，以韓國為攻擊目標。已知LazarusGroup最早的攻擊活動是2009年其利用DDoS技術來攻擊韓國政府的“特洛伊行動”。而最著名的一次是2014年對索尼影業的攻擊，原因是索尼上映關于暗殺朝鮮領導人金正恩的喜劇。該組織旗下機構BlueNorOff的一次知名攻擊是2016年的孟加拉國銀行攻擊案，他們試圖利用SWIFT網絡從屬于孟加拉國中央銀行的紐約聯邦儲備銀行賬戶非法轉移近10億美元。在完成了幾筆交易后，紐約聯邦儲備銀行以拼寫錯誤引起的懷疑為由阻止了其余交易。自2017年以來，該組織開始對加密行業進行攻擊，并獲利至少達10億美元。LazarusGroup加密攻擊事件

一鯨魚在Aave上做多ETH:金色財經報道，據Lookonchain監測，一鯨魚在Aave上做多ETH，他在6月12日存入6000美元的ETH，借了600萬美元的USDT，并存入Binance。2小時前從Binance提取了3,622美元ETH，買入價為1,657美元。存款8,000美元，借入7百萬美元，2小時前再次存入Binance。[2023/6/16 21:42:04]

2017年2月從韓國交易所Bithumb盜取700萬美元的數字資產。2017年4月從韓國交易所Youbit盜取約4000枚比特幣，12月再次盜取其17%數字資產，Youbit申請破產。2017年12月從加密貨幣云挖礦市場Nicehash盜取超過4500枚比特幣。2020年9月從KuCoin交易所盜取價值約3億美元的數字資產。2022年3月攻擊Ronin跨鏈橋，盜取17.36萬個ETH和2550萬USDC被盜，累計價值約6.2億美元。此外，許多加密項目方負責人或者KOL也會成為LazarusGroup的目標。2022年3月22日，DefianceCapital創始人Arthur在推特表示熱錢包被盜，包括17枚azuki和5枚cloneX在內的的60枚NFT，損失約170萬美元。Arthur稱有證據表明幕后黑手是朝鮮支持的BlueNorOff黑客組織，他們正在大力傷害加密行業。面對外界的指控，朝鮮曾發表公告稱不是LazarusGroup所為，但此后從不回應媒體的詢問。攻擊特點

Sui生態DEX Cetus Launchpad已超募220%:5月8日消息，構建在Sui與Aptos生態的DEX與集中流動性協議Cetus Launchpad已超募220%，本次IDO硬頂為800,000枚SUI，每枚CETUS售價為0.04SUI，向市場供應Token總量的2%，募集的70%SUI將用作初始流動性，30%SUI用作xCETUS質押獎勵。[2023/5/8 14:50:17]

根據虎符智庫分析，LazarusGroup通過網絡釣魚、惡意代碼、惡意軟件等手段盜取存儲在數字錢包的加密資產，主要有以下特點：攻擊周期普遍較長，通常進行較長時間潛伏，并換不同方法誘使目標被入侵。投遞的誘餌文件具有極強的迷惑性和誘惑性，導致目標無法甄別。攻擊過程會利用系統破壞或勒索應用干擾事件的分析。利用SMB協議漏洞或相關蠕蟲工具實現橫向移動和載荷投放。每次攻擊使用工具集的源代碼都會修改，并且網安公司披露后也會及時修改源代碼。LazarusGroup最擅長的攻擊手段是濫用信任，利用目標對商業通信、同事內部聊天或者與外部交互的信任，向其發送惡意文件，并監控其日常操作伺機盜竊。在攻擊者意識到找到的目標是加密大戶后，會仔細觀察用戶數周或數月的活動軌跡，最后才制定盜竊方案。2021年1月，谷歌安全團隊也曾表示發現Lazarus長期潛伏在Twitter、LinkedIn、Telegram等社交媒體，利用虛假身份偽裝成活躍的業內漏洞研究專家，博取業內信任從而對其他漏洞研究人員發動0day攻擊。據卡巴斯基的研究，今年BlueNoroff組織喜歡跟蹤和研究成功的加密貨幣初創公司，目標是與團隊管理層建立良好的個人互動關系并了解可能感興趣的主題，甚至會雇傭或偽裝成應聘者潛入公司，以便發起高質量的社會工程攻擊。美國政府的一份報告，則進一步披露，入侵往往始于在各種通信平臺上發送給加密貨幣公司員工的大量魚叉式網絡釣魚消息，這些員工通常從事系統管理或軟件開發/IT運營(DevOps)。這些消息通常模仿招聘工作并提供高薪工作以誘使收件人下載帶有惡意軟件的加密貨幣應用程序。把惡意文件植入目標電腦之后，如果攻擊者意識到目標使用Metamask拓展來管理加密錢包之后，會將擴展源從WebStore更改為本地存儲，并將核心擴展組件替換為篡改版本。下面截圖顯示了受病感染的Metamaskbackground.js代碼，其中注入的代碼行以黃色顯示。在這種情況下，攻擊者設置了對特定發件人和收件人地址之間交易的監控，可以在發現大額轉賬時觸發通知。

印度央行行長：加密貨幣對宏觀經濟、金融穩定有風險:金色財經報道，印度央行行長沙克蒂坎塔·達斯表示，我們堅信加密貨幣絕對沒有基礎（支撐），加密貨幣對宏觀經濟、金融穩定有風險。仍然認為加密貨幣應該被禁止。央行數字貨幣是未來的貨幣，將有更多的央行接受數字貨幣。[2022/12/21 21:58:42]

另外，如果攻擊者意識到目標用戶的加密貨幣是儲存在硬件錢包，會攔截交易過程并注入惡意邏輯。當用戶將資金轉移到另一個賬戶時，交易就會在硬件錢包上簽名。但是，鑒于該操作是由用戶主動發起，不會引起自身的懷疑，然而攻擊者不僅修改了收款人地址，還將轉賬數量拉到最大值。

這聽上去很簡單，但需要對Metamask擴展插件進行徹底分析，該擴展包含超過6MB的JavaScript代碼，并實施代碼注入讓用戶使用擴展時按需重寫交易細節。但是，攻擊者對Chrome擴展的修改會留下痕跡。瀏覽器必須切換到開發者模式，并且Metamask擴展是從本地目錄而不是在線商店安裝的。如果插件來自商店，Chrome會對代碼強制執行數字簽名驗證并保證代碼完整性，攻擊者就無法完成攻擊過程。如何應對

觀點：DeFi行業需要一款“殺手級應用”來實現主流采用:8月10日消息，Ripple Lab的DeFi市場負責人Boris Alergant在參加Blockchain Futurist Conference圓桌討論時表示，消費者需要一款“殺手級應用”，才能將DeFi行業提升到吸引主流受眾的水平。

與會者的普遍看法是，中心化金融機構最終將推動DeFi走向主流采用。Alergant表示，增長可能來自用戶友好的CeFi應用程序，該應用程序提供DeFi服務渠道：“對于普通用戶來說，你告訴你媽媽如何出去在Aave或ETH上質押，這是一個過程。她不知道如何使用MetaMask，但她想以某種方式產生該收益。她想交易，但不知道怎么做。所以我認為機構采用是其未來發展方向，而機構將使消費者的殺手級應用程序真正將加密貨幣和DeFi提升到一個新的水平。”（Cointelegraph）[2022/8/10 12:15:17]

隨著加密生態規模的快速增長，LazarusGroup對行業的威脅也在急劇增長。根據美國聯邦調查局、美國網絡安全和基礎設施安全局和美國財政部近日共同發布的聯合網絡安全咨詢，自2020年以來，朝鮮支持的高級持續威脅就已開始針對區塊鏈和加密行業的各種組織，包括加密交易所、DeFi協議、鏈游、加密貿易公司、加密風投以及持有大量代幣和NFT的個人所有者。這些組織可能會繼續利用加密貨幣技術公司、游戲公司和交易所的漏洞來產生和洗錢以支持朝鮮政權。為此，該報告提出的緩解措施包括應用縱深防御安全策略、強制執行憑據要求和多因素身份驗證、在社交媒體和魚叉式釣魚中對用戶進行社交工程教育等。今日，知名加密安全組織慢霧也針對該現象發布防范建議：建議行業從業人員隨時關注國內外各大威脅平臺安全情報，做好自我排查，提高警惕；開發人員運行可執行程序之前，做好必要的安全檢查；做好零信任機制，可以有效降低這類威脅帶來的風險；建議Mac/Windows實機運行的用戶保持安全軟件實時防護開啟，并隨時更新最新病庫。在洗錢渠道方面，以太坊混幣協議TornadoCash近日也發推表示，該項目正在使用合規公司Chainalysis開發的工具來阻止美國外國資產控制辦公室(OFAC)批準的特定加密錢包地址訪問DApp，這似乎是在對LazarusGroup的圍追堵截。不過TornadoCash聯合創始人RomanSemenov此后發推稱，封鎖僅適用于面向用戶的去中心化應用程序，而不適用于底層智能合約。也就是說，此舉更多地是象征性行動，很難實質性影響資深黑客通過TornadoCash混幣。總結

Flow市值超越Apecoin、Algorand和BCH:8月6日消息，隨著Flow價格站上2.74美元上方創下近兩個月新高，其市值已突破28億美元（截至目前為2,822,862,496美元）并超越Apecoin、Algorand和BCH。市場分析，本次上漲或與Meta宣布旗下平臺Instagram將在100個國家/地區推出NFT功能有關，據傳Meta或將使用Flow區塊鏈作為其NFT托管的官方合作伙伴。

此前報道，8月4日，Meta創始人Mark Zuckerberg宣布Instagram正在向非洲、亞太地區、中東和美洲的100多個國家或地區引入數字收藏品（以在Instagram上展示NFT），還啟動了與Coinbase Wallet、Dapper的集成以及對Flow區塊鏈的支持。（Newsbtc）[2022/8/6 12:06:20]

LazarusGroup組織是有國家背景支持的頂尖黑客團伙，專注于針對特定目標進行長期的持續性網絡攻擊，以竊取資金和實現目的為出發點，是全球金融機構的最大威脅之一。同時，此類組織對加密生態的攻擊也會間接導致加密貨幣市場成為朝鮮政權補充資金的便捷渠道，導致加密行業的進一步惡名化，影響其合規化與規范化進程。為了應對LazarusGroup等一系列黑客組織的攻擊以及維護健康的加密行業生態，加密項目需要在應對此類攻擊方面形成更加有效的預防機制，在代碼審計、內控、用戶教育、響應機制等層面均采取相應措施，盡可能保障用戶資產安全。作為加密用戶，每個人也需要了解更多安全方面的知識，尤其是在保護個人隱私、鑒別釣魚鏈接等方面，鑒于DefianceCapital創始人Arthur這般資深用戶仍然被盜，任何人都不容忽視此類風險。參考資料：1、https://en.wikipedia.org/wiki/Lazarus_Group2、https://blog.chainalysis.com/reports/2022-defi-hacks/3、https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/4、https://cryptobriefing.com/north-korea-is-targeting-entire-crypto-space-top-vc-warns/

Tags：GROSGRUSG加密貨幣GROOMERSGRV2BLUSGD個人交易加密貨幣違法嗎

FIL