朝鲜黑客组织Lazarus Group：加密货币盗窃与洗钱手法分析

联合国一份机密报告显示，去年一家加密货币交易所遭遇黑客攻击后，Lazarus Group于今年3月通过某虚拟货币平台洗钱1.475亿美元。

联合国安理会制裁委员会的监察员正在调查2017年至2024年间发生的97起疑似朝鲜黑客针对加密货币公司的网络攻击，涉及金额约36亿美元。这包括去年年底某加密货币交易所被盗1.475亿美元的事件，随后资金于今年3月完成洗钱。

2022年，美国对该虚拟货币平台实施制裁。2023年，其两名联合创始人被指控协助洗钱超过10亿美元，部分与Lazarus Group有关。

一位加密货币分析师的调查显示，Lazarus Group在2020年8月至2023年10月期间将价值2亿美元的加密货币洗白为法定货币。

Lazarus Group长期以来被指控进行大规模网络攻击和金融犯罪，目标遍布全球，包括银行系统、加密货币交易所、政府机构和私人企业。以下将分析几个典型案例，揭示该组织的攻击策略和技术手段。

Lazarus Group的社会工程和网络钓鱼攻击

据欧洲媒体报道，Lazarus曾将欧洲和中东的军事和航空航天公司作为目标。他们在社交平台上发布虚假招聘广告，诱骗员工下载含恶意软件的PDF文件，从而实施钓鱼攻击。

这种攻击方式利用心理操纵，诱使受害者放松警惕，执行危险操作如点击链接或下载文件。他们的恶意软件能够针对系统漏洞，窃取敏感信息。

Lazarus还对某加密货币支付提供商进行了为期六个月的攻击，导致3700万美元被盗。攻击手段包括向工程师发送虚假工作机会、发起分布式拒绝服务攻击，以及进行密码暴力破解。

CoinBerry、Unibright等攻击事件分析

2020年8月至10月，多家加密货币交易所和项目遭受攻击：

• 8月24日，加拿大某加密货币交易所钱包被盗。
• 9月11日，某项目因私钥泄露，导致40万美元未经授权转账。
• 10月6日，某交易平台热钱包遭盗，损失75万美元加密资产。

2021年初，这些攻击事件的资金汇集到特定地址。1月11日至15日，攻击者通过某混币服务存入并提取了近4500枚ETH。

到2023年，经过多次转移和兑换，这些资金最终汇集到其他安全事件的资金归集提现地址。攻击者随后将盗取的资金发送至某些存款地址。

某互助平台创始人遭黑客攻击

2020年12月14日，某互助平台创始人个人账户被盗37万NXM（约830万美元）。

攻击者通过多个地址转移和兑换资金，进行混淆、分散和归集操作。部分资金跨链到比特币网络，再跨回以太坊，之后通过混币平台处理，最后发送至提现平台。

2020年12月16日至20日，一个黑客地址向某混币服务发送超2500ETH。几小时后，另一地址开始提款操作。

2021年5月至7月，攻击者将1100万USDT转入某存款地址。2023年2月至6月，又通过特定地址将总计1117万USDT发送到其他存款地址。

Steadefi和CoinShift黑客攻击

2023年8月，Steadefi事件中624枚被盗ETH和Coinshift事件中900枚被盗ETH被转移到某混币服务。

随后，资金被提取到多个地址。2023年10月12日，这些地址的资金汇集到一个新地址。

2023年11月，该地址开始转移资金，最终通过中转和兑换，将资金发送到某些存款地址。

总结

Lazarus Group的洗钱模式通常包括以下步骤：盗取加密资产后，通过跨链操作和混币服务进行资金混淆。混淆后，将资产提取到目标地址并发送到固定地址群进行提现。最后，通过场外交易服务将加密资产兑换为法币。

这种持续、大规模的攻击对Web3行业构成了严重的安全威胁。相关机构正持续关注该黑客团伙，追踪其动态和洗钱方式，以协助打击此类犯罪并追回被盗资产。