朝鮮黑客組織Lazarus Group的加密貨幣攻擊與洗錢手法分析

一份聯合國機密報告揭示，朝鮮黑客團夥Lazarus Group在去年從一家加密貨幣交易所盜取資金後，於今年3月通過某虛擬貨幣平台洗錢1.475億美元。

聯合國安理會制裁委員會的監察員正在調查2017年至2024年間發生的97起疑似朝鮮黑客針對加密貨幣公司的網路攻擊，涉及金額約36億美元。其中包括去年年底某加密貨幣交易所遭受的1.475億美元盜竊事件，這筆資金隨後在今年3月完成了洗錢過程。

2022年，美國對該虛擬貨幣平台實施了制裁。次年，該平台的兩名聯合創始人被控協助洗錢超過10億美元，其中涉及與朝鮮有關的網路犯罪組織Lazarus Group。

一位加密貨幣調查專家的研究顯示，Lazarus Group在2020年8月至2023年10月期間將價值2億美元的加密貨幣轉換爲法定貨幣。

Lazarus Group長期以來被指控進行大規模的網路攻擊和金融犯罪。他們的目標範圍廣泛，包括銀行系統、加密貨幣交易所、政府機構和私人企業等。以下將分析幾個典型的攻擊案例，揭示Lazarus Group如何通過復雜的策略和技術手段實施這些攻擊。

Lazarus Group的社會工程和網絡釣魚攻擊

據歐洲媒體報道，Lazarus曾將歐洲和中東的軍事和航空航天公司作爲目標。他們在社交平台上發布虛假招聘廣告，誘騙員工下載包含惡意可執行文件的PDF，從而實施釣魚攻擊。

這類攻擊試圖利用心理操縱，誘使受害者放松警惕，執行諸如點擊連結或下載文件等危險操作。他們的惡意軟件能夠瞄準受害者系統中的漏洞並竊取敏感信息。

在針對某加密貨幣支付提供商的爲期六個月的攻擊中，Lazarus採用了類似的方法，導致該公司被盜3700萬美元。整個過程中，他們向工程師發送虛假工作機會，發起分布式拒絕服務等技術攻擊，並嘗試多種可能的密碼進行暴力破解。

多起加密貨幣交易所攻擊事件

2020年8月至10月期間，多家加密貨幣交易所和項目遭受攻擊：

1. 2020年8月24日，某加拿大加密貨幣交易所錢包被盜。
2. 2020年9月11日，某項目因私鑰泄露，導致團隊控制的多個錢包發生40萬美元的未授權轉帳。
3. 2020年10月6日，某交易平台熱錢包因安全漏洞，未經授權轉移了價值75萬美元的加密資產。

這些攻擊事件的資金在2021年初匯集到同一個地址。隨後，攻擊者通過某混幣服務存入大量ETH，並在幾天內陸續提取。到2023年，這些資金經過多次轉移和兌換，最終匯集到其他安全事件資金歸集的提現地址。

某保險項目創始人遭黑客攻擊

2020年12月14日，某保險項目的創始人遭遇黑客攻擊，損失37萬NXM（約830萬美元）。攻擊者通過多個地址轉移和兌換被盜資金，進行了資金混淆、分散和歸集等操作。部分資金通過跨鏈到比特幣網路，再跨回以太坊網路，之後通過混幣平台進行混淆，最後發送至提現平台。

2020年12月16日至20日，一個黑客地址向某混幣服務發送了超過2500ETH。幾小時後，另一個相關地址開始提款操作。

2021年5月至7月，攻擊者將1100萬USDT轉入某交易平台的存款地址。2023年2月至6月，攻擊者又通過不同地址將超過1100萬USDT分別發送到兩個不同的交易平台存款地址。

最近的攻擊事件

2023年8月，兩起新的攻擊事件發生，涉及624枚ETH和900枚ETH被盜。這些被盜資金被轉移到某混幣服務。隨後，資金被提取到幾個新的地址，並在2023年10月12日集中到一個統一地址。

2023年11月，這個統一地址開始轉移資金，最終通過中轉和兌換，將資金發送到兩個主要的交易平台存款地址。

總結

Lazarus Group的洗錢模式呈現出一定規律：在盜取加密資產後，他們主要通過反復跨鏈和使用混幣服務來混淆資金來源。混淆後，將資產提取到目標地址，並發送到固定的一些地址羣進行提現操作。被盜加密資產通常存入特定的交易平台存款地址，然後通過場外交易服務將加密資產兌換爲法幣。

面對Lazarus Group持續、大規模的攻擊，Web3行業正面臨嚴峻的安全挑戰。相關機構正持續關注該黑客團夥的動態，並對其洗錢方式進行進一步追蹤，以協助項目方、監管和執法部門打擊此類犯罪，追回被盜資產。