朝鮮黑客組織Lazarus Group：加密貨幣盜竊與洗錢手法分析

聯合國一份機密報告顯示，去年一家加密貨幣交易所遭遇黑客攻擊後，Lazarus Group於今年3月通過某虛擬貨幣平台洗錢1.475億美元。

聯合國安理會制裁委員會的監察員正在調查2017年至2024年間發生的97起疑似朝鮮黑客針對加密貨幣公司的網路攻擊，涉及金額約36億美元。這包括去年年底某加密貨幣交易所被盜1.475億美元的事件，隨後資金於今年3月完成洗錢。

2022年，美國對該虛擬貨幣平台實施制裁。2023年，其兩名聯合創始人被指控協助洗錢超過10億美元，部分與Lazarus Group有關。

一位加密貨幣分析師的調查顯示，Lazarus Group在2020年8月至2023年10月期間將價值2億美元的加密貨幣洗白爲法定貨幣。

Lazarus Group長期以來被指控進行大規模網路攻擊和金融犯罪，目標遍布全球，包括銀行系統、加密貨幣交易所、政府機構和私人企業。以下將分析幾個典型案例，揭示該組織的攻擊策略和技術手段。

Lazarus Group的社會工程和網絡釣魚攻擊

據歐洲媒體報道，Lazarus曾將歐洲和中東的軍事和航空航天公司作爲目標。他們在社交平台上發布虛假招聘廣告，誘騙員工下載含惡意軟件的PDF文件，從而實施釣魚攻擊。

這種攻擊方式利用心理操縱，誘使受害者放松警惕，執行危險操作如點擊連結或下載文件。他們的惡意軟件能夠針對系統漏洞，竊取敏感信息。

Lazarus還對某加密貨幣支付提供商進行了爲期六個月的攻擊，導致3700萬美元被盜。攻擊手段包括向工程師發送虛假工作機會、發起分布式拒絕服務攻擊，以及進行密碼暴力破解。

CoinBerry、Unibright等攻擊事件分析

2020年8月至10月，多家加密貨幣交易所和項目遭受攻擊：

• 8月24日，加拿大某加密貨幣交易所錢包被盜。
• 9月11日，某項目因私鑰泄露，導致40萬美元未經授權轉帳。
• 10月6日，某交易平台熱錢包遭盜，損失75萬美元加密資產。

2021年初，這些攻擊事件的資金匯集到特定地址。1月11日至15日，攻擊者通過某混幣服務存入並提取了近4500枚ETH。

到2023年，經過多次轉移和兌換，這些資金最終匯集到其他安全事件的資金歸集提現地址。攻擊者隨後將盜取的資金發送至某些存款地址。

某互助平台創始人遭黑客攻擊

2020年12月14日，某互助平台創始人個人帳戶被盜37萬NXM（約830萬美元）。

攻擊者通過多個地址轉移和兌換資金，進行混淆、分散和歸集操作。部分資金跨鏈到比特幣網路，再跨回以太坊，之後通過混幣平台處理，最後發送至提現平台。

2020年12月16日至20日，一個黑客地址向某混幣服務發送超2500ETH。幾小時後，另一地址開始提款操作。

2021年5月至7月，攻擊者將1100萬USDT轉入某存款地址。2023年2月至6月，又通過特定地址將總計1117萬USDT發送到其他存款地址。

Steadefi和CoinShift黑客攻擊

2023年8月，Steadefi事件中624枚被盜ETH和Coinshift事件中900枚被盜ETH被轉移到某混幣服務。

隨後，資金被提取到多個地址。2023年10月12日，這些地址的資金匯集到一個新地址。

2023年11月，該地址開始轉移資金，最終通過中轉和兌換，將資金發送到某些存款地址。

總結

Lazarus Group的洗錢模式通常包括以下步驟：盜取加密資產後，通過跨鏈操作和混幣服務進行資金混淆。混淆後，將資產提取到目標地址並發送到固定地址羣進行提現。最後，通過場外交易服務將加密資產兌換爲法幣。

這種持續、大規模的攻擊對Web3行業構成了嚴重的安全威脅。相關機構正持續關注該黑客團夥，追蹤其動態和洗錢方式，以協助打擊此類犯罪並追回被盜資產。