HTT:慢霧：朝鮮APT組織對NFT用戶大規模釣魚事件分析

原文作者：山&耀

原文來源：慢霧安全團隊

安全團隊發現疑似APT團伙針對加密生態的NFT用戶進行大規模釣魚活動，并發布了《“零元購”NFT釣魚分析》。

9月4日，推特用戶PhantomX發推稱朝鮮APT組織針對數十個ETH和SOL項目進行大規模的網絡釣魚活動。

貨幣行業的攻擊模型多樣化，我們披露的也只是冰山一角，因為一些保密的要求，本篇文章也僅針對其中一部分釣魚素材包括相關釣魚錢包地址進行分析。這里將重點針對NFT釣魚進行分析。

OpenSea、X2Y2和Rarible等平臺上都有出售。此次APT組織針對Crypto和NFT用戶的釣魚涉及將近500多個域名。

查詢這些域名的注冊相關信息，發現注冊日期最早可追溯到7個月前：

慢霧：區塊鏈因黑客攻擊損失總金額已超300億美元:金色財經報道，據慢霧統計數據顯示，自2012年1月以來，區塊鏈黑客造成的損失總金額約為30,011,604,576.24美元；黑客事件總數達到1101起。

其中Exchange、ETH Ecosystem、Bridge是在黑客攻擊中損失最大的類別，損失金額分別為10,953,323,803.39美元、3,123,297,416.28美元，2,005,030,543.30美元。另外合約漏洞、Rug Pull、閃電貸攻擊是最常見的攻擊方式，分別發生黑客事件137起，106起，87起。[2023/7/7 22:24:09]

同時我們也發現朝鮮黑客常使用的一些獨有的釣魚特征：

特征一：釣魚網站都會記錄訪客數據并保存到外部站點。黑客通過HTTPGET請求將站點訪問者信息記錄到外部域，發送請求的域名雖不同但是請求的API?接口都為“/postAddr.php”。一般格式為“https://nserva.live/postAddr.php??mmAddr=......&accessTime=xxx&url=evil.site”，其中參數mmAddr記錄訪客的錢包地址，accessTime記錄訪客的訪問時間，url記錄訪客當前所訪問的釣魚網站鏈接。

慢霧：Gate官方Twitter賬戶被盜用，謹慎互動:10月22日消息，安全團隊慢霧發文稱：加密平臺Gate官方Twitter賬戶被盜用，謹慎互動。半小時前，攻擊者利用該賬戶發文，誘導用戶進入虛假網站連接錢包。此外，慢霧科技創始人余弦在社交媒體上發文表示：注意下，Gate官方推特應該是被黑了，發送了釣魚信息，這個網址 g?te[.]com 是假的（之前談過的 Punycode 字符有關的釣魚域名），如果你去Claim會出現eth_sign這種簽名釣魚，可能導致ETH等相關資產被盜。[2022/10/22 16:35:14]

特征二：釣魚網站會請求一個NFT項目價目表，通常HTTP的請求路徑為“getPriceData.php”：

特征三：存在一個鏈接圖像到目標項目的文件“imgSrc.js”，包含目標站點列表和在其相應網絡釣魚站點上使用的圖像文件的托管位置，這個文件可能是釣魚網站模板的一部分。

慢霧：nanotron安全審計報告是偽造的:慢霧科技發推表示：團隊并沒有對于nanotron進行審計，項目的安全審計報告是偽造的，請注意防范風險。[2020/10/8]

進一步分析發現APT用于監控用戶請求的主要域名為“thedoodles.site”，此域名在APT活動早期主要用來記錄用戶數據：

查詢該域名的HTTPS證書啟用時間是在7個月之前，黑客組織已經開始實施對NFT用戶對攻擊。

最后來看下黑客到底運行和部署了多少個釣魚站點：

比如最新的站點偽裝成世界杯主題：

繼續根據相關的HTTPS證書搜索得到相關的網站主機信息：

在一些主機地址中發現了黑客使用的各種攻擊腳本和統計受害者信息的txt文件。

動態 | 慢霧：巨鯨被盜2.6億元資產，或因Blockchain.info安全體系存在缺陷:針對加密巨鯨賬戶（zhoujianfu）被盜價值2.6億元的BTC和BCH，慢霧安全團隊目前得到的推測如下：該大戶私鑰自己可以控制，他在Reddit上發了BTC簽名，已驗證是對的，且猜測是使用了一款很知名的去中心化錢包服務，而且這種去中心化錢包居然還需要SIM卡認證，也就是說有用戶系統，可以開啟基于SIM卡的短信雙因素認證，猜測可能是Blockchain.info，因為它吻合這些特征，且歷史上慢霧安全團隊就收到幾起Blockchain.info用戶被盜幣的威脅情報，Blockchain.info的安全體系做得并不足夠好。目前慢霧正在積極跟進更多細節，包括與該大戶直接聯系以及盡力提供可能需求的幫助。[2020/2/22]

這些文件記錄了受害者訪問記錄、授權情況、使用插件錢包的情況：

可以發現這些信息跟釣魚站點采集的訪客數據相吻合。

其中還包括受害者approve記錄：

以及簽名數據sigData等，由于比較敏感此處不進行展示。

另外，統計發現主機相同IP下NFT釣魚站群，單獨一個IP下就有372個NFT釣魚站點：

另一個IP下也有320個NFT釣魚站群：

甚至包括朝鮮黑客在經營的一個DeFi平臺：

由于篇幅有限，此處不再贅述。

NFT零元購釣魚》文章，我們對此次釣魚事件的核心代碼進行了分析。我們發現黑客釣魚涉及到WETH、USDC、DAI、UNI等多個地址協議。

下面代碼用于誘導受害者進行授權NFT、ERC?20等較常見的釣魚Approve操作：

除此之外，黑客還會誘導受害者進行Seaport、Permit等簽名。

下面是這種簽名的正常樣例，只是在釣魚網站中不是“opensea.io”這個域名。

我們在黑客留下的主機也發現了這些留存的簽名數據和“Seaport”的簽名數據特征一致。

由于這類型的簽名請求數據可以“離線存儲”，黑客在拿到大量的受害者簽名數據后批量化的上鏈轉移資產。

進行分析。

可以看到這個地址已被MistTrack標記為高風險釣魚地址，交易數也還挺多。釣魚者共收到1055個NFT，售出后獲利近300ETH。

往上溯源，該地址的初始資金來源于地址轉入的4.97ETH。往下溯源，則發現該地址有與其他被MistTrack標記為風險的地址有交互，以及有5.7ETH轉入了FixedFloat。

再來分析下初始資金來源地址，目前收到約6.5ETH。初始資金來源于Binance轉入的1.433ETH。

同時，該地址也是與多個風險地址進行交互。

總結

由于保密性和隱私性，本文僅針對其中一部分?NFT?釣魚素材進行分析，并提煉出朝鮮黑客的部分釣魚特征，當然，這只是冰山一角。慢霧在此建議，用戶需加強對安全知識的了解，進一步強化甄別網絡釣魚攻擊的能力等，避免遭遇此類攻擊。更多的安全知識建議閱讀慢霧出品的《區塊鏈黑暗森林自救手冊》。

Ps.感謝hip、ScamSniffer提供的支持。

相關鏈接：

https://www.prevailion.com/what-wicked-webs-we-unweave

https://twitter.com/PhantomXSec/status/1566219671057371136?

https://twitter.com/evilcos/status/1603969894965317632?

原文鏈接

Tags：NFTETHHTTTPSNFTBlackmarketGuarded EtherCHTT幣https://etherscan.io

XLM