數字經濟中的黑客威脅：Lazarus與Drainer團夥全剖析

2024-09-05 16:09:37

本文 Hash ( SHA1 ): 9 d 28 ef 4 e 6 e 45 c 21121 d 4 e 6 fc 0 ef 7 c 011 f 4826 3d 8

編號: 鏈源科技 PandaLY Security Knowledge No.025

區塊鏈技術作為數字經濟的核心驅動力，正推動全球金融和數據安全領域的革命。然而，去中心化和匿名性的特性也吸引了網絡犯罪分子的目光，催生了一系列針對加密資產的攻擊事件。黑客永不眠，那些匯集資金的地方永遠是黑客的目標，根據各種區塊鏈分析和安全公司提供的數據，從 2020 年到 2024 年，Web3相關的黑客攻擊造成的損失已超過 30 億美元。我們鏈源安全團隊將深入剖析幾大著名的區塊鏈黑客團夥及其知名案例，揭示他們的作案手段，並提供個人防範黑客攻擊的實用策略。

知名黑客團夥手法以及盜竊案例

朝鮮黑客 Lazarus Group

背景：

根據維基百科的資料，Lazarus Group 成立於 2007 年，隸屬於北韓人民軍總參謀部偵察總局旗下的 110 號研究中心，專門從事網絡战。該組織分為兩個部門：第一個部門被稱為 BlueNorOff（又稱 APT 38），約有 1700 名成員，主要通過僞造 SWIFT 訂單進行非法轉账，專注於利用網絡漏洞獲取經濟利益或控制系統實施金融網絡犯罪，目標主要是金融機構和加密貨幣交易所。第二個部門是 AndAriel，約有 1600 名成員，主要針對韓國進行攻擊。

作案手法：

Lazarus 早期主要通過僵屍網絡進行 DDoS 攻擊，而如今它們的攻擊手段已轉向魚叉攻擊、水坑攻擊、供應鏈攻擊等，並針對不同目標實施定向的社會工程學攻擊。Lazarus 採用郵件中的魚叉攻擊和網站水坑攻擊來實現入侵，並可能利用系統破壞或勒索應用幹擾事件的分析，此外，還會利用 SMB 協議漏洞或相關蠕蟲工具進行橫向移動和載荷投放，甚至針對銀行 SWIFT 系統實施攻擊以實現資金盜取。其技術特徵包括使用多種加密算法（如 RC 4、AES、Spritz）以及自定義字符變換算法，僞裝 TLS 協議通過 SNI record 中的白域名來繞過 IDS，還使用 IRC 和 HTTP 協議。

此外，Lazarus 通過破壞 MBR、分區表或向扇區寫入垃圾數據來損壞系統，並使用自刪除腳本來隱藏攻擊痕跡。其攻擊手段包括將木馬程序作為電子郵件附件進行魚叉攻擊，通過惡意文檔和宏實現入侵；在水坑攻擊中，Lazarus 分析目標的上網活動，攻擊其常訪問的網站並植入惡意代碼，大規模盜取資金；在社工攻擊中，通過僞裝招聘加密貨幣工作人員或網絡安全人員來獲取憑證，從而實施攻擊。Lazarus 的武器庫包含大量定制工具，表明其背後有規模較大的开發團隊，其攻擊能力和工具包括 DDoS botnets、keyloggers、RATs、wiper malware，使用的惡意代碼如 Destover、Duuzer 和 Hangman 等。

案列：

2017 年 Bangladesh Bank 劫案

Lazarus 黑客組通過攻擊 SWIFT 系統，盜取了 8100 萬美元的資金。雖然這個事件主要涉及傳統銀行系統，但其影響也波及到區塊鏈領域，因為黑客通過這種方式獲得的資金常用於購买加密貨幣進行洗錢。

2020 年 KuCoin 黑客事件

2020 年 9 月，KuCoin 交易所遭遇大規模黑客攻擊，損失金額高達 2 億美元。盡管直接責任未完全確認，但分析師認為與 Lazarus 相關。黑客利用合約漏洞和系統弱點，竊取了大量加密貨幣，並試圖通過多個渠道轉移和洗錢。

2021 年 Ronin 網絡攻擊

Ronin 是 Axie Infinity 遊戲的區塊鏈網絡，在 2021 年 3 月遭到攻擊，損失超過 6 億美元。黑客通過攻擊开發者的節點和系統漏洞實施了攻擊。雖然直接責任尚未確認，但很多分析師將其與 Lazarus 或其他國家支持的黑客組織聯系起來。

2022 年 Harmony 網絡攻擊

Harmony 區塊鏈的跨鏈橋在 2022 年 6 月遭到攻擊，損失約 1 億美元。此次攻擊顯示了區塊鏈跨鏈橋的安全漏洞，盡管攻擊者身份未明確，但一些專家將其與朝鮮黑客組織的策略相聯系，認為他們可能通過類似手法實施了這次攻擊。

Drainer 犯罪團夥

區塊鏈中的“drainer”通常指一種惡意智能合約或腳本，其目的是通過欺詐手段從用戶的加密錢包或账戶中竊取資金。這類攻擊通常發生在用戶與假冒或被入侵的去中心化應用（dApp）或網站交互時，用戶可能會在不知情的情況下授權該惡意合約對其資金的控制權限，比較知名的 drainer 犯罪團夥有以下：

背景：

"Inferno Drainer" ，是最受歡迎的加密錢包詐騙工具之一，它是一個“釣魚即服務”（Phishing-as-a-Service，PaaS）的平臺，專門為詐騙者提供即用型的網絡釣魚工具，通過這些平臺，攻擊者可以輕松地創建僞裝成合法去中心化應用（dApp）的釣魚網站，從而竊取用戶的加密資產。據 Web3 安全公司 Blockaid 數據，截至 2024 年 7 月，使用 Inferno Drainer 的 DApp 數量已增加至 40, 000 個。使用該工具的新惡意 DApp 數量已經增加增加了三倍，使用量上升 300%

作案手法：

該團夥通過電報頻道推廣其服務，以“詐騙即服務”的模式運營，由开發者提供釣魚網站給詐騙分子，幫助他們實施詐騙活動。當受害者掃描釣魚網站上的二維碼並連接他們的錢包時，Inferno Drainer 會自動檢查並定位錢包中最有價值且易於轉移的資產，並發起惡意交易。一旦受害者確認交易，資產就會被轉移到犯罪分子的账戶中。被盜資產中， 20% 會分給 Inferno Drainer 的开發者，其余 80% 則歸詐騙分子所有。

他們主要瞄准那些與加密貨幣相關的用戶和平臺，如去中心化金融（DeFi）應用、NFT 市場、加密錢包等。利用社會工程學手段，如假冒官方公告或空投活動，通過僞裝成合法的應用或服務，誘導用戶授權訪問他們的錢包，從而盜取資金。這種工具的出現大大降低了實施網絡詐騙的門檻，導致相關詐騙活動增多。

案列：

OpenSea 釣魚攻擊

黑客利用 Inferno Drainer 平臺針對 OpenSea 用戶實施釣魚攻擊。OpenSea 是一個流行的 NFT 市場，許多用戶的加密錢包與其账戶相關聯。攻擊者創建了一個僞裝成 OpenSea 網站的釣魚頁面，並通過電子郵件和社交媒體廣告吸引用戶訪問。用戶在該頁面上連接錢包並進行交易授權時，Inferno Drainer 會自動發起惡意交易，將用戶錢包中的 NFT 和加密貨幣轉移到黑客控制的地址。此攻擊導致數十位用戶損失了他們的珍貴 NFT 及大量以太坊，總損失金額達數百萬美元。

Uniswap 釣魚攻擊

Uniswap 是去中心化金融（DeFi）領域最受歡迎的去中心化交易所之一。Inferno Drainer 被用於僞裝成 Uniswap 的釣魚攻擊。攻擊者創建了一個僞造的 Uniswap 網站，並通過谷歌廣告、社交媒體鏈接等手段引導用戶訪問。受害者在該網站上授權惡意合約後，Inferno Drainer 會迅速掃描他們的账戶，並發起一筆轉移代幣的交易，盜取用戶的資產。多名用戶在此攻擊中損失了大量代幣和穩定幣，總價值達數十萬至數百萬美元不等。