數字經濟中的黑客威脅:Lazarus與Drainer團夥全剖析

2024-09-05 16:09:37

本文 Hash ( SHA1 ): 9 d 28 ef 4 e 6 e 45 c 21121 d 4 e 6 fc 0 ef 7 c 011 f 4826 3d 8

編號: 鏈源科技 PandaLY Security Knowledge No.025

區塊鏈技術作為數字經濟的核心驅動力,正推動全球金融和數據安全領域的革命。然而,去中心化和匿名性的特性也吸引了網絡犯罪分子的目光,催生了一系列針對加密資產的攻擊事件。黑客永不眠,那些匯集資金的地方永遠是黑客的目標,根據各種區塊鏈分析和安全公司提供的數據,從 2020 年到 2024 年,Web3相關的黑客攻擊造成的損失已超過 30 億美元。我們鏈源安全團隊將深入剖析幾大著名的區塊鏈黑客團夥及其知名案例,揭示他們的作案手段,並提供個人防範黑客攻擊的實用策略。

知名黑客團夥手法以及盜竊案例

朝鮮黑客 Lazarus Group

背景:

根據維基百科的資料,Lazarus Group 成立於 2007 年,隸屬於北韓人民軍總參謀部偵察總局旗下的 110 號研究中心,專門從事網絡战。該組織分為兩個部門:第一個部門被稱為 BlueNorOff(又稱 APT 38),約有 1700 名成員,主要通過僞造 SWIFT 訂單進行非法轉账,專注於利用網絡漏洞獲取經濟利益或控制系統實施金融網絡犯罪,目標主要是金融機構和加密貨幣交易所。第二個部門是 AndAriel,約有 1600 名成員,主要針對韓國進行攻擊。

作案手法:

Lazarus 早期主要通過僵屍網絡進行 DDoS 攻擊,而如今它們的攻擊手段已轉向魚叉攻擊、水坑攻擊、供應鏈攻擊等,並針對不同目標實施定向的社會工程學攻擊。Lazarus 採用郵件中的魚叉攻擊和網站水坑攻擊來實現入侵,並可能利用系統破壞或勒索應用幹擾事件的分析,此外,還會利用 SMB 協議漏洞或相關蠕蟲工具進行橫向移動和載荷投放,甚至針對銀行 SWIFT 系統實施攻擊以實現資金盜取。其技術特徵包括使用多種加密算法(如 RC 4、AES、Spritz)以及自定義字符變換算法,僞裝 TLS 協議通過 SNI record 中的白域名來繞過 IDS,還使用 IRC 和 HTTP 協議。

此外,Lazarus 通過破壞 MBR、分區表或向扇區寫入垃圾數據來損壞系統,並使用自刪除腳本來隱藏攻擊痕跡。其攻擊手段包括將木馬程序作為電子郵件附件進行魚叉攻擊,通過惡意文檔和宏實現入侵;在水坑攻擊中,Lazarus 分析目標的上網活動,攻擊其常訪問的網站並植入惡意代碼,大規模盜取資金;在社工攻擊中,通過僞裝招聘加密貨幣工作人員或網絡安全人員來獲取憑證,從而實施攻擊。Lazarus 的武器庫包含大量定制工具,表明其背後有規模較大的开發團隊,其攻擊能力和工具包括 DDoS botnets、keyloggers、RATs、wiper malware,使用的惡意代碼如 Destover、Duuzer 和 Hangman 等。

案列:

  • 2017 年 Bangladesh Bank 劫案

Lazarus 黑客組通過攻擊 SWIFT 系統,盜取了 8100 萬美元的資金。雖然這個事件主要涉及傳統銀行系統,但其影響也波及到區塊鏈領域,因為黑客通過這種方式獲得的資金常用於購买加密貨幣進行洗錢。

  • 2020 年 KuCoin 黑客事件

2020 年 9 月,KuCoin 交易所遭遇大規模黑客攻擊,損失金額高達 2 億美元。盡管直接責任未完全確認,但分析師認為與 Lazarus 相關。黑客利用合約漏洞和系統弱點,竊取了大量加密貨幣,並試圖通過多個渠道轉移和洗錢。

  • 2021 年 Ronin 網絡攻擊

Ronin 是 Axie Infinity 遊戲的區塊鏈網絡,在 2021 年 3 月遭到攻擊,損失超過 6 億美元。黑客通過攻擊开發者的節點和系統漏洞實施了攻擊。雖然直接責任尚未確認,但很多分析師將其與 Lazarus 或其他國家支持的黑客組織聯系起來。

  • 2022 年 Harmony 網絡攻擊

Harmony 區塊鏈的跨鏈橋在 2022 年 6 月遭到攻擊,損失約 1 億美元。此次攻擊顯示了區塊鏈跨鏈橋的安全漏洞,盡管攻擊者身份未明確,但一些專家將其與朝鮮黑客組織的策略相聯系,認為他們可能通過類似手法實施了這次攻擊。

Drainer 犯罪團夥

區塊鏈中的“drainer”通常指一種惡意智能合約或腳本,其目的是通過欺詐手段從用戶的加密錢包或账戶中竊取資金。這類攻擊通常發生在用戶與假冒或被入侵的去中心化應用(dApp)或網站交互時,用戶可能會在不知情的情況下授權該惡意合約對其資金的控制權限,比較知名的 drainer 犯罪團夥有以下:

背景:

"Inferno Drainer" ,是最受歡迎的加密錢包詐騙工具之一,它是一個“釣魚即服務”(Phishing-as-a-Service,PaaS)的平臺,專門為詐騙者提供即用型的網絡釣魚工具,通過這些平臺,攻擊者可以輕松地創建僞裝成合法去中心化應用(dApp)的釣魚網站,從而竊取用戶的加密資產。據 Web3 安全公司 Blockaid 數據,截至 2024 年 7 月,使用 Inferno Drainer 的 DApp 數量已增加至 40, 000 個。使用該工具的新惡意 DApp 數量已經增加增加了三倍,使用量上升 300%

作案手法:

該團夥通過電報頻道推廣其服務,以“詐騙即服務”的模式運營,由开發者提供釣魚網站給詐騙分子,幫助他們實施詐騙活動。當受害者掃描釣魚網站上的二維碼並連接他們的錢包時,Inferno Drainer 會自動檢查並定位錢包中最有價值且易於轉移的資產,並發起惡意交易。一旦受害者確認交易,資產就會被轉移到犯罪分子的账戶中。被盜資產中, 20% 會分給 Inferno Drainer 的开發者,其余 80% 則歸詐騙分子所有。

他們主要瞄准那些與加密貨幣相關的用戶和平臺,如去中心化金融(DeFi)應用、NFT 市場、加密錢包等。利用社會工程學手段,如假冒官方公告或空投活動,通過僞裝成合法的應用或服務,誘導用戶授權訪問他們的錢包,從而盜取資金。這種工具的出現大大降低了實施網絡詐騙的門檻,導致相關詐騙活動增多。

案列:

  • OpenSea 釣魚攻擊

黑客利用 Inferno Drainer 平臺針對 OpenSea 用戶實施釣魚攻擊。OpenSea 是一個流行的 NFT 市場,許多用戶的加密錢包與其账戶相關聯。攻擊者創建了一個僞裝成 OpenSea 網站的釣魚頁面,並通過電子郵件和社交媒體廣告吸引用戶訪問。用戶在該頁面上連接錢包並進行交易授權時,Inferno Drainer 會自動發起惡意交易,將用戶錢包中的 NFT 和加密貨幣轉移到黑客控制的地址。此攻擊導致數十位用戶損失了他們的珍貴 NFT 及大量以太坊,總損失金額達數百萬美元。

  • Uniswap 釣魚攻擊

Uniswap 是去中心化金融(DeFi)領域最受歡迎的去中心化交易所之一。Inferno Drainer 被用於僞裝成 Uniswap 的釣魚攻擊。攻擊者創建了一個僞造的 Uniswap 網站,並通過谷歌廣告、社交媒體鏈接等手段引導用戶訪問。受害者在該網站上授權惡意合約後,Inferno Drainer 會迅速掃描他們的账戶,並發起一筆轉移代幣的交易,盜取用戶的資產。多名用戶在此攻擊中損失了大量代幣和穩定幣,總價值達數十萬至數百萬美元不等。

黑客團夥常用的攻擊手段形式大同小異

  • 釣魚攻擊(Phishing)

黑客僞裝成可信賴的機構或個人,誘騙受害者點擊惡意鏈接或泄露私鑰,從而獲取其加密資產。例如,Lazarus Group 就曾通過僞造政府官員身份,發動精准釣魚攻擊,成功竊取了加密貨幣交易所的巨額資金。

  • 惡意軟件(Malware)

黑客利用惡意軟件感染受害者的設備,從而竊取其加密貨幣或獲取設備的遠程控制權。FIN 6 常使用定制惡意軟件,專門針對金融機構和加密貨幣交易所進行攻擊。

  • 智能合約漏洞利用

黑客通過識別和利用智能合約中的漏洞,非法轉移或竊取資金。由於智能合約一旦部署在區塊鏈上,其代碼不可更改,因此漏洞的危害可能極為嚴重。

  • 51% 攻擊

黑客通過掌控區塊鏈網絡中超過 50% 的算力,進行雙花攻擊或篡改交易記錄。此類攻擊尤其針對小型或新興區塊鏈網絡,因其算力相對集中,容易被惡意操縱。

個人客戶的防範措施

  • 加強安全意識

始終保持警惕,不隨意點擊陌生鏈接或下載不明來源的軟件。特別是在涉及加密貨幣的操作中,更需謹慎,以免落入陷阱。

  • 啓用雙重認證

對所有加密貨幣账戶啓用雙重認證(2FA),為账戶增加額外的安全防護層,防止未經授權的登錄。

  • 使用硬件錢包

將大部分加密貨幣存儲在硬件錢包中,而非在线錢包或交易所。這種離线存儲方式能夠有效降低被黑客遠程攻擊的風險。

  • 審查智能合約

在與智能合約進行交互前,盡量了解合約代碼或選擇經過專業審核的合約,避免與未經驗證的智能合約互動,降低資金被盜的風險。

  • 定期更新設備和軟件

確保所有使用的設備和相關軟件處於最新版本,定期進行安全更新,以防止因舊漏洞而被攻擊。

結語

在區塊鏈領域,安全始終是至關重要的議題。了解和識別著名黑客團夥,工具,以及其作案手段,結合有效的個人防範措施,可以極大降低成為攻擊目標的風險。隨着技術的不斷發展,黑客手段也在升級,鏈源安全團隊建議用戶需要不斷提升自身的安全意識,時刻保持警惕,才能在這個快速變化的數字時代中立於不敗之地。

鏈源科技是一家專注於區塊鏈安全的公司。我們的核心工作包括區塊鏈安全研究、鏈上數據分析,以及資產和合約漏洞救援,已成功為個人和機構追回多起被盜數字資產。同時,我們致力於為行業機構提供項目安全分析報告、鏈上溯源和技術咨詢/支撐服務。

感謝各位的閱讀,我們會持續專注和分享區塊鏈安全內容。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

Uniswap公告Unichain主網明年初上線!首測路線圖兩功能,UNI強彈17%

去 中心化交易所(DEX)龍頭 Uniswap 於 10 月宣佈推出專為 DeFi 設計的 Lay...

DaFi Weaver
7 21小時前

下周必關注|LayerZero決定是否开啓“費用开關”;Aligned空投注冊結束(12.23-12.29)

下周重點預告 12 月 23 日 Aligned 將向 891322 個地址空投 26% 的 AL...

星球日報
8 21小時前

一周代幣解鎖:下周無高比例或金額重大的代幣解鎖

下周,共有 8 個項目解鎖,其中沒有重大解鎖,MOCA 解鎖流通量的 2.9% 。 Metars...

星球日報
7 21小時前

空投周報 | OpenSea基金會官推上线;Azuki、Doodles疑似即將發幣(12.16-12.22)

@OdailyChina @web3_golem Odaily星球日報盤點了 12 月 16 日至...

星球日報
8 21小時前

區塊鏈的達摩克裏斯之劍:一文讀懂谷歌新量子芯片對區塊鏈的影響

前言:谷歌推出了量子芯片 Willow 可以在 5 分鐘之內便完成了當今最快的超級計算機都需要 1...

星球日報
8 21小時前

資金費率的演變:從2021年黃金時代,到2024-2025年套利復興

資金費率起源 資金費率起源於加密貨幣衍生品市場,特別是從永續期貨合約中發展而來。它作為一種機制,用...

Block Beats
10 1天前