SharkTeam:起底朝鲜 APT 组织 Lazarus Group,攻击手法及洗钱模式

Foresight · 2023-10-13 17:37

Web3

钱包

Moonbeam

朝鲜 APT 组织 Lazarus Group 攻击目的主要以窃取资金为主,堪称全球金融机构的最大威胁,近年来多起加密货币领域的攻击和资金窃取案件就是他们所为。


撰文:SharkTeam


国家级 APT(Advanced Persistent Threat,高级持续性威胁)组织是有国家背景支持的顶尖黑客团伙,专门针对特定目标进行长期的持续性网络攻击。朝鲜 APT 组织 Lazarus Group 就是非常活跃的一个 APT 团伙,其攻击目的主要以窃取资金为主,堪称全球金融机构的最大威胁,近年来多起加密货币领域的攻击和资金窃取案件就是他们所为。


一、Lazarus Group


据维基百科资料,Lazarus Group 成立于 2007 年,隶属于北韩人民军总参谋部侦察总局第三局旗下的 110 号研究中心,专门负责网络战。该组织分为 2 个部门,一个是大约 1700 名成员的 BlueNorOff(也称为 APT38),负责通过伪造 SWIFT 订单进行非法转账,专注于利用网络漏洞谋取经济利益或控制系统来实施金融网络犯罪,此部门针对金融机构和加密货币交易所。另一个是大约 1600 名成员的 AndAriel,以韩国为攻击目标。


已知 Lazarus Group 最早的攻击活动是 2009 年其利用 DDoS 技术来攻击韩国政府的「特洛伊行动」。而最著名的一次是 2014 年对索尼影业的攻击,原因是索尼上映关于暗杀朝鲜领导人金正恩的喜剧。


该组织旗下机构 BlueNorOff 的一次知名攻击是 2016 年的孟加拉国银行攻击案,他们试图利用 SWIFT 网络从属于孟加拉国中央银行的纽约联邦储备银行账户非法转移近 10 亿美元。在完成了几笔交易(2000 万美元追踪到斯里兰卡,8100 万美元追踪到菲律宾)后,纽约联邦储备银行以拼写错误引起的怀疑为由阻止了其余交易。


自 2017 年以来,该组织开始对加密行业进行攻击,并获利至少 10 多亿美元。


二、技战法分析


2.1 常用攻击手法分析


Lazarus 早期多利用僵尸网络对目标进行 DDos 攻击;目前主要攻击手段转为鱼叉攻击、水坑攻击、供应链攻击等手法,还针对不同人员采取定向社会工程学攻击。


战术特征:


(1)使用邮件鱼叉攻击和水坑攻击

(2)攻击过程会利用系统破坏或勒索应用干扰事件的分析

(3)利用 SMB 协议漏洞或相关蠕虫工具实现横向移动和载荷投放

(4)攻击银行 SWIFT 系统实现资金盗取


技术特征:


(1)使用多种加密算法,包括 RC4,AES, Spritz 等标准算法,也使用 XOR 及自定义字符变换算法

(2)主要使用虚假构造的 TLS 协议,通过在 SNI record 中写入白域名来 Bypass IDS。也使用 IRC、HTTP 协议

(3)通过破坏 MBR、分区表或者向扇区写入垃圾数据从而破坏系统

(4)使用自删除脚本


攻击手段:


(1)鱼叉攻击:鱼叉攻击是计算机病毒术语,是黑客攻击方式之一。将木马程序作为电子邮件的附件,并起上一个极具诱惑力的名称,发送给目标电脑,诱使受害者打开附件,从而感染木马。Lazarus 通常以邮件夹带恶意文档作为诱饵,常见文件格式为 DOCX,后期增加了 BMP 格式。入侵方式主要利用恶意宏与 Office 常见漏洞、0day 漏洞、植入 RAT 的手法。


(2)水坑攻击:顾名思义,是在受害者必经之路设置了一个「水坑 ( 陷阱 )」,最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站「攻破」并植入攻击代码,一旦攻击目标访问该网站就会「中招」。Lazarus 通常针对贫穷的或欠发达地区的小规模银行金融机构使用水坑攻击,这样就可以在短时间内大范围盗取资金。2017 年,Lazarus 对波兰金融监管机构发动水坑攻击,在网站官方网站植入恶意的 JavaScript 漏洞,导致波兰多家银行被植入恶意程式。此次攻击感染了 31 个国家的 104 个组织,大多数目标是位于波兰、智利、美国、墨西哥和巴西的金融机构。


(3)社工攻击:社会工程攻击,是一种利用「社会工程学」来实施的网络攻击行为。在计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。Lazarus 擅长将社工技术运用到攻击周期中,无论是投递的诱饵还是身份伪装,都令受害者无法甄别,从而掉入它的陷阱中。2020 年期间,Lazarus 在领英网站伪装招聘加密货币工作人员并发送恶意文档,旨在获取凭证从而盗取目标加密货币。2021 年,Lazarus 以网络安全人员身份潜伏在 Twitter 中,伺机发送嵌有恶意代码的工程文件攻击同行人员。


武器库:


Lazarus 使用的网络武器中包含大量定制工具,并且使用代码有很多相似之处。肯定地说,这些软件来自相同的开发人员,可以说明 Lazarus 背后有具有一定规模的开发团队。Lazarus 拥有的攻击能力和工具包括 DDoS botnets、 keyloggers、 RATs、wiper malware,使用的恶意代码包括 Destover、Duuzer 和 Hangman 等。


2.2 典型攻击事件分析


下面以一起典型的 Lazarus 针对加密行业的鱼叉攻击为例进行分析。Lazarus 通过邮件附件或链接的方式,诱导目标工作人员下载恶意压缩包,并执行压缩包中的恶意文件。



邮件末尾的「CoinbaseJobDescription」即为恶意链接并诱导用户点击,一旦点击用户就会下载恶意压缩包,并执行压缩包中的恶意文件。压缩包分为三种情况:


(1)释放加密的诱饵文件和一个带有恶意命令的 LNK 文件,由 LNK 文件下载后续载荷,后续载荷释放文件密钥和恶意脚本;

(2)释放 LNK 文件,LNK 文件下载后续载荷,后续载荷释放诱饵文件和恶意脚本;

(3)释放带宏的 OFFICE 文件,由恶意宏下载后续载荷并执行。


以样本 b94a13586828f8f3474f7b89755f5e7615ff946efd510a4cca350e6e1b4af440 为例进行分析。该样本文件名为 Ledger_Nano_S&X_Security_Patch_Manual.zip,是一个 zip 压缩包,文件名中的 LedgerNano 是一款硬件钱包,用于保护加密资产,S 和 X 是其型号。


该样本伪装成 LedgerNano 的安全补丁手册,解压后会释放一个伪装成 pdf 文件的快捷方式文件:



用户双击该快捷方式后,会执行命令:



该命令中,使用 cmd 静默执行 expand 程序,将 msiexec.exe 复制到 %appdata%\pat.exe 路径下,然后使用 pcalua.exe 打开 pat.exe,从远程服务器上下载 msi 文件并执行。这个过程中使用了多种逃避木马检测的技术:


(1)expand.exe 是系统用于解压压缩包的程序,但可以被用来进行文件复制,代替敏感的 copy 命令;

(2)复制并重命名 msiexec.exe,以逃避对 msiexec.exe 的执行检测;

(3)pcalua.exe 是 windows 程序兼容性助手,是系统的白名单程序,攻击者使用该程序调用重命名为 pat.exe 的 msiexec.exe,访问远程服务器上的恶意 msi 文件,从而逃避检测。


获取到的 MSI 文件运行后,会执行内嵌的脚本:




该脚本为 Lazarus 典型的一阶段脚本,其功能包括:


(1)下载并打开正常的 PDF 文件从而迷惑受害者;


(2)向启动目录释放 Edge.lnk 文件,完成自启动;lnk 文件执行的命令与样本解压后的 lnk 文件基本相同,也是使用 pcalua.exe 调用重命名后的 msiexec.exe 加载远程服务器上的 msi 文件;该文件的名称和图标都伪装为 Edge 浏览器,使受害者降低警惕;


(3)调用 WMI 命令获取进程名称列表并进行拼接,然后检查如下进程名称:

“kwsprot”:金山毒霸相关进程

“npprot”:Net ProtectorAntiVirus 相关进程

“fshoster”:F-Secure 相关进程


(4)如果拼接后的进程名称中存在上述字符串之一,则会使用 cscript.exe 执行后续脚本,否则使 npprot 用 wscript.exe;


(5)将选定的脚本执行程序复制到 %public% 目录下;并且如果进程名称中存在 kwsprot 或 npprot,会将用于执行脚本的程序重命名为 icb.exe,以逃避检测;


(6)解码 base64 编码的后续脚本,释放到临时文件夹下,命名为 RgdASRgrsF.js


(7)使用复制到 %public% 目录下的脚本执行程序,执行 RgdASRgrsF.js

RgdASRgrsF.js 是 Lazarus 典型的二阶段脚本,其功能非常简单,生成随机的 UID 后与服务器通讯,然后循环接受服务器的命令并执行;所执行的命令通常一些收集系统信息的命令:



至此攻击已经完成,黑客可以在用户电脑上获得他所需的文件或密码等敏感信息。通过对 Lazarus 可以发现,目前其攻击的目标行业包括政府、军队、金融、核工业、化工、医疗、航空航天、娱乐媒体和加密货币,从 2017 年开始加密货币行业的比重明显增大。


三、洗钱模式分析


目前已明确统计到的 Lazarus 攻击加密领域的安全事件和损失如下:



超过 30 亿美元的资金在网络攻击中被 Lazarus 盗取,据悉,Lazarus 黑客组织背后有着朝鲜战略利益的支撑,为朝鲜的核弹、弹道导弹计划提供资金。为此,美国宣布悬赏 500 万美元,对 Lazarus 黑客组织进行制裁。美国财政部也已将相关地址添加到 OFAC 特别指定国民(SDN)名单中,禁止美国个人、实体和相关地址进行交易,以确保国家资助的集团无法兑现这些资金,以此进行制裁。以太坊开发商 Virgil Griffith 因帮助朝鲜使用虚拟货币逃避制裁而被判处五年零三个月的监禁,今年 OFAC 也制裁了三名与 Lazarus Group 相关人员,其中两名被制裁者 Cheng Hung Man 和 Wu Huihui 是为 Lazarus 提供加密货币交易便利的场外交易 (OTC) 交易员,而第三人 Sim Hyon Sop 提供了其他财务支持。


尽管如此,Lazarus 已完成了超 10 亿美元的资产转移和清洗,他们的洗钱模式分析如下。以 Atomic Wallet 事件为例,去除黑客设置的技术干扰因素后(大量的假代币转账交易 + 多地址分账),可以得到黑客的资金转移模式:


图:Atomic Wallet 受害者 1 资金转移视图


受害者 1 地址 0xb02d...c6072 向黑客地址 0x3916...6340 转移 304.36 ETH,通过中间地址 0x0159...7b70 进行 8 次分账后,归集至地址 0x69ca...5324。此后将归集资金转移至地址 0x514c...58f67,目前资金仍在该地址中,地址 ETH 余额为 692.74 ETH(价值 127 万美元)。


图:Atomic Wallet 受害者 2 资金转移视图


受害者 2 地址 0x0b45...d662 向黑客地址 0xf0f7...79b3 转移 126.6 万 USDT,黑客将其分成三笔,其中两笔转移至 Uniswap,转账总额为 126.6 万 USDT;另一笔向地址 0x49ce...80fb 进行转移,转移金额为 672.71ETH。受害者 2 向黑客地址 0x0d5a...08c2 转移 2.2 万 USDT,该黑客通过中间地址 0xec13...02d6 等进行多次分账,直接或间接将资金归集至地址 0x3c2e...94a8。


这种洗钱模式与之前的 Ronin Network、Harmony 攻击事件中的洗钱模式高度一致,均包含三个步骤:


(1)被盗资金整理兑换:发起攻击后整理原始被盗代币,通过 dex 等方式将多种代币 swap 成 ETH。这是规避资金冻结的常用方式。

(2)被盗资金归集:将整理好的 ETH 归集到数个一次性钱包地址中。Ronin 事件中黑客一共用了 9 个这样的地址,Harmony 使用了 14 个,Atomic Wallet 事件使用了近 30 个地址。

(3)被盗资金转出:使用归集地址通过 Tornado.Cash 将钱洗出。这便完成了全部的资金转移过程。


除了具备相同的洗钱步骤,在洗钱的细节上也有高度的一致性:


(1)攻击者非常有耐心,均使用了长达一周的时间进行洗钱操作,均在事件发生几天后开始后续洗钱动作。

(2)洗钱流程中均采用了自动化交易,大部分资金归集的动作交易笔数多,时间间隔小,模式统一。


通过分析,我们认为 Lazarus 的洗钱模式通常如下:


(1)多账号分账、小额多笔转移资产,提高追踪难度。

(2)开始制造大量假币交易,提高追踪难度。以 Atomic Wallet 事件为例,27 个中间地址中有 23 个账户均为假币转移地址,近期在对 Stake.com 的事件分析中也发现采用类似技术,但之前的 Ronin Network、Harmony 事件并没有这种干扰技术,说明 Lazarus 的洗钱技术也在升级。

(3)更多的采用链上方式(如 Tonado Cash)进行混币,早期的事件中 Lazarus 经常使用中心化交易所获得启动资金或进行后续的 OTC,但近期越来越少的使用中心化交易所,甚至可以认为是尽量在避免使用中心化交易所,这与近期的几起制裁事件应该有关。

免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表Bi123的观点或立场

相关推荐

上一篇:Arbitrum 的赠款战争落幕:57 个项目瓜分 5000 万 ARB,或成 DAO 治理的经典案例?

下一篇:RWA 板块火热,RWA 借贷平台 Untangled 完成 1350 万美元融资 | 投融资周报

扫码下载APP添加官方微信
行情机会交流