朝鲜黑客团伙Lazarus Group的网络攻击与洗钱手法分析

一份机密报告揭示，Lazarus Group在去年从某加密货币交易所窃取资金后，于今年3月通过某虚拟货币平台洗钱1.475亿美元。监察员正在调查2017年至2024年间发生的97起疑似针对加密货币公司的网络攻击，涉及金额约36亿美元。这包括去年年底某加密货币交易所遭受的1.475亿美元盗窃事件，洗钱过程于今年3月完成。

某国政府在2022年对该虚拟货币平台实施制裁。2023年，该平台两名联合创始人被指控协助洗钱超过10亿美元，其中包括与Lazarus Group相关的犯罪活动。

据一位加密货币分析专家调查，Lazarus Group在2020年8月至2023年10月期间将价值2亿美元的加密货币洗钱为法定货币。

Lazarus Group长期以来被指控进行大规模的网络攻击和金融犯罪，其目标遍布全球，涉及银行系统、加密货币交易所、政府机构和私人企业。以下将分析几个典型案例，揭示该组织的攻击策略和技术手段。

Lazarus Group的社会工程和网络钓鱼攻击

Lazarus Group曾将欧洲和中东的军事和航空航天公司作为目标。他们在社交平台上发布虚假招聘广告，诱导员工下载含有恶意执行文件的PDF，从而实施钓鱼攻击。这种方法利用心理操纵，诱使受害者放松警惕，执行危险操作。

他们的恶意软件能够瞄准受害者系统中的漏洞并窃取敏感信息。在针对某加密货币支付提供商的为期六个月的攻击中，Lazarus Group使用类似手法，导致该公司被盗3700万美元。整个过程中，他们向工程师发送虚假工作机会，发起分布式拒绝服务攻击，并尝试暴力破解密码。

多起加密货币交易所攻击事件

2020年8月至10月期间，多家加密货币交易所和项目遭受攻击：

• 8月24日，某加拿大加密货币交易所钱包被盗。
• 9月11日，某项目因私钥泄露，导致40万美元未经授权转账。
• 10月6日，某交易平台热钱包遭受75万美元的未授权转移。

这些被盗资金在2021年初汇集到同一地址，随后通过某混币服务进行了多次存取操作。最终，这些资金经过多次转移和兑换，汇集到了其他安全事件资金归集的地址，并被发送至某些提现平台。

某互助保险平台创始人遭黑客攻击

2020年12月14日，某互助保险平台的创始人被盗37万NXM（价值830万美元）。被盗资金在多个地址之间转移并兑换为其他资产。Lazarus Group通过这些地址进行了资金混淆、分散和归集操作。部分资金经过跨链、混币等复杂过程，最终发送至提现平台。

2021年5月至7月，攻击者将1100万USDT转入某提现地址。2023年2月至6月，又有超过1100万USDT分批发送到其他提现地址。

Steadefi和CoinShift攻击事件

2023年8月，Steadefi和Coinshift遭受攻击，分别有624枚和900枚ETH被盗并转移到某混币服务。随后，这些资金被提取到几个中转地址，最终在2023年10月汇集到一个统一地址。2023年11月，这些资金经过转移和兑换，被发送到某些提现平台。

总结

Lazarus Group在盗取加密资产后，主要通过跨链操作和使用混币服务来混淆资金来源。混淆后，他们将被盗资产提取到目标地址，并发送到固定的地址群进行提现。被盗的加密资产通常存入特定的提现地址，然后通过场外交易服务兑换为法币。

面对Lazarus Group持续的大规模攻击，Web3行业面临严峻的安全挑战。相关机构正持续关注该黑客团伙的动态，并对其洗钱方式进行追踪，以协助项目方、监管和执法部门打击此类犯罪，追回被盗资产。