朝鮮黑客團夥Lazarus Group的活動及其洗錢手法分析

一份機密的聯合國報告揭示，去年一家加密貨幣交易所遭到Lazarus Group的攻擊，約1.475億美元的資金被盜。今年3月，這筆資金通過某虛擬貨幣平台完成了洗錢過程。

聯合國安理會制裁委員會的監察員正在調查2017年至2024年間發生的97起疑似朝鮮黑客針對加密貨幣公司的網路攻擊事件，涉及金額高達36億美元。其中包括去年年底某加密貨幣交易所遭受的1.475億美元盜竊案，該案件的洗錢過程於今年3月完成。

2022年，美國對某虛擬貨幣平台實施了制裁。次年，該平台的兩名聯合創始人被指控協助洗錢超過10億美元，其中涉及與朝鮮有關的網路犯罪組織Lazarus Group。

某加密貨幣分析師的調查顯示，Lazarus Group在2020年8月至2023年10月期間將價值2億美元的加密貨幣洗白爲法定貨幣。

Lazarus Group長期以來一直被指控進行大規模的網路攻擊和金融犯罪。他們的目標範圍廣泛，包括銀行系統、加密貨幣交易所、政府機構和私人企業等。

Lazarus Group的社會工程和網絡釣魚攻擊

歐洲媒體報道，Lazarus曾以歐洲和中東的軍事和航空航天公司爲目標，通過在社交平台上發布虛假招聘廣告來欺騙員工。他們要求求職者下載包含可執行文件的PDF，從而實施釣魚攻擊。

這種社會工程和網絡釣魚攻擊試圖利用心理操縱，誘使受害者放松警惕，執行點擊連結或下載文件等危險行爲。他們的惡意軟件能夠針對受害者系統中的漏洞，竊取敏感信息。

Lazarus還使用類似的方法對某加密貨幣支付提供商進行了爲期六個月的攻擊，導致該公司損失3700萬美元。在整個攻擊過程中，他們向工程師發送虛假工作機會，發起分布式拒絕服務等技術攻擊，並嘗試暴力破解密碼。

多起加密貨幣交易所攻擊事件

2020年8月至10月，多家加密貨幣交易所和項目遭受攻擊：

• 8月24日，加拿大某加密貨幣交易所錢包被盜。
• 9月11日，某項目由於私鑰泄露，團隊控制的多個錢包中發生40萬美元的未經授權轉帳。
• 10月6日，另一家交易所由於安全漏洞，熱錢包中75萬美元的加密資產被盜。

這些被盜資金經過多次轉移和混淆，最終匯集到一些特定地址。攻擊者通過多次轉帳和兌換，將資金發送至某些存款地址。

某互助保險平台創始人遭黑客攻擊

2020年12月14日，某互助保險平台的創始人遭遇黑客攻擊，損失37萬平台代幣，價值約830萬美元。

被盜資金在多個地址之間轉移並兌換爲其他資產。Lazarus Group通過這些地址進行了資金混淆、分散和歸集等操作。部分資金通過跨鏈到比特幣網路，再跨回以太坊網路，之後通過混幣平台進行混淆，最後發送至提現平台。

2020年12月16日至20日，一個黑客地址將超過2500 ETH發送至某混幣平台。幾小時後，另一個關聯地址開始提款操作。

2021年5月至7月，攻擊者將1100萬USDT轉入某交易平台的存款地址。

2023年2月至6月，攻擊者通過多個地址，將超過1100萬USDT發送到不同的存款地址。

最近的攻擊事件

2023年8月，兩起攻擊事件的被盜ETH（分別爲624枚和900枚）被轉移到某混幣平台。隨後，這些資金被提取到幾個特定地址。

2023年10月12日，這些地址的資金被集中到一個新地址。到11月，該地址開始轉移資金，最終通過中轉和兌換，將資金發送到某些存款地址。

總結

Lazarus Group在盜取加密資產後，主要通過跨鏈操作和使用混幣器來混淆資金來源。混淆後，他們將被盜資產提取到目標地址，並發送到固定的地址羣進行提現。被盜的加密資產通常存入特定的存款地址，然後通過場外交易服務兌換爲法幣。

面對Lazarus Group持續、大規模的攻擊，Web3行業正面臨嚴峻的安全挑戰。相關機構正持續關注該黑客團夥，並將進一步追蹤其活動和洗錢方式，以協助項目方、監管和執法部門打擊此類犯罪，追回被盜資產。