朝鲜黑客组织Lazarus Group攻击手法及洗钱方式分析

近期一份联合国机密报告揭示，某黑客团伙在去年从一家加密货币交易所窃取资金后，于今年3月通过某虚拟货币平台洗钱1.475亿美元。

据悉，监察员正在调查2017年至2024年间发生的97起疑似针对加密货币公司的网络攻击，涉及金额约36亿美元。其中包括去年年底某加密货币交易所被盗1.475亿美元的事件，这笔资金随后在今年3月完成了洗钱过程。

2022年，美国对一个混币平台实施了制裁。次年，该平台两名联合创始人被指控协助洗钱超过10亿美元，其中涉及与朝鲜有关的网络犯罪组织。

一位加密货币分析师的调查显示，这个黑客组织在2020年8月至2023年10月期间，将价值2亿美元的加密货币洗白为法定货币。

该黑客组织长期以来一直被指控进行大规模的网络攻击和金融犯罪。他们的目标遍布全球，从银行系统到加密货币交易所，从政府机构到私人企业。以下将分析几个典型的攻击案例，揭示这个黑客组织如何通过复杂的策略和技术手段实施这些惊人的攻击。

社会工程和网络钓鱼攻击

据欧洲媒体报道，该组织曾将欧洲和中东的军事和航空航天公司作为目标。他们在社交平台上发布招聘广告欺骗员工，要求求职者下载包含可执行文件的PDF，从而实施钓鱼攻击。

这种攻击方式试图利用心理操纵，诱骗受害者放松警惕，执行点击链接或下载文件等行为，从而危及系统安全。黑客通过恶意软件瞄准受害者系统中的漏洞并窃取敏感信息。

在针对某加密货币支付提供商的为期六个月的行动中，该组织使用了类似的方法，导致该公司被盗3700万美元。他们向工程师发送虚假的工作机会，发起分布式拒绝服务等技术攻击，并尝试暴力破解密码。

多起加密货币交易所攻击事件

2020年8月至10月，多家加密货币交易所和项目遭受攻击：

• 8月24日，某加拿大加密货币交易所钱包被盗。
• 9月11日，某项目因私钥泄露，导致团队控制的多个钱包发生40万美元未经授权的转账。
• 10月6日，某交易平台热钱包因安全漏洞被转移75万美元加密资产。

这些被盗资金在2021年初汇集到同一地址，随后通过混币平台进行多次转移和混淆。到2023年，攻击者将资金发送至某些特定的提现地址。

某互助保险平台创始人遭黑客攻击

2020年12月14日，某互助保险平台创始人个人账户被盗37万平台代币，价值约830万美元。

黑客通过多个地址转移和兑换被盗资金。部分资金跨链到比特币网络，再跨回以太坊网络，之后通过混币平台进行混淆，最终发送至提现平台。

2021年5月至7月，攻击者将1100万USDT转入某交易平台。2023年2月至6月，又分批将超过1100万USDT发送到两个不同的提现地址。

近期DeFi项目攻击事件

2023年8月，两个DeFi项目遭受攻击，共计约1500枚ETH被盗。黑客将这些ETH转移到混币平台，随后提取到几个中转地址。

2023年10月12日，这些资金被集中到一个新地址。到11月，该地址开始转移资金，最终通过中转和兑换，将资金发送到特定的提现地址。

总结

该黑客组织在盗取加密资产后，主要通过跨链操作和使用混币器进行资金混淆。混淆后，他们将被盗资产提取到目标地址，并发送到固定的地址群进行提现操作。被盗的加密资产通常存入特定的提现地址，然后通过场外交易服务兑换为法币。

面对这种持续、大规模的攻击，Web3行业面临着严峻的安全挑战。相关机构正在持续关注该黑客团伙的动态和洗钱方式，以协助项目方、监管与执法部门打击此类犯罪，追回被盗资产。