Grupo Lázaro

Actualizaciones en 2023

Según información pública de 2023, hasta junio no se ha atribuido ningún caso importante de robo de criptomonedas al grupo de hackers norcoreano Lazarus Group. Basándose en las actividades en cadena, Lazarus Group lavó principalmente los fondos de criptomonedas robados a partir de 2022, incluidos los aproximadamente 100 millones de dólares perdidos en el ataque al puente entre cadenas Harmony el 23 de junio de 2022.

Sin embargo, hechos posteriores han demostrado que Lazarus Group, además de lavar los fondos de criptomonedas robados a partir de 2022, ha estado activo en la oscuridad, participando en actividades de ataque relacionadas con APT. Estas actividades condujeron directamente a los "101 días oscuros" en la industria de las criptomonedas a partir del 3 de junio.

Durante los “101 días oscuros”, un total de cinco plataformas fueron pirateadas, con una cantidad total robada que superó los 300 millones de dólares, principalmente dirigidas a plataformas de servicios centralizados.

Alrededor del 12 de septiembre, SlowMist, junto con sus socios, descubrió un ataque APT a gran escala dirigido a la industria de las criptomonedas por parte del grupo de hackers Lazarus Group. El método de ataque es el siguiente: primero, engañan la identidad mediante el uso de verificación de personas reales para engañar al personal de verificación y convertirse en clientes genuinos. Luego realizan depósitos reales. Con la identidad de este cliente como fachada, implementan selectivamente troyanos personalizados para Mac o Windows entre el personal oficial y los clientes (atacantes) durante la comunicación, obteniendo permisos para moverse lateralmente dentro de la red interna. Acechan durante mucho tiempo para lograr el objetivo de robar fondos.

El FBI estadounidense también está preocupado por los grandes robos en el ecosistema de las criptomonedas y declaró públicamente en un comunicado de prensa que fue manipulado por los hackers norcoreanos Lazarus Group. El siguiente es un comunicado de prensa relevante del FBI de 2023 sobre el hacker norcoreano Lazarus Group:

• El 23 de enero, el FBI confirmó (https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft) Los hackers norcoreanos Lazarus Group deberían ser responsables del incidente del Harmony Hack.

• El 22 de agosto, el FBI emitió un aviso (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) afirmando que la organización de hackers norcoreana Hacks que involucra a Atomic Wallet, Alphapo y CoinsPaid robó un total de $197 millones en criptomonedas.

• El 6 de septiembre, el FBI emitió un comunicado de prensa (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) confirmando que los piratas informáticos norcoreanos Lazarus Group son responsables del robo de 41 millones de dólares de la plataforma de apuestas con criptomonedas Stake.com.

Análisis de métodos de blanqueo de capitales.

Según nuestro análisis, los métodos de lavado de dinero de los hackers norcoreanos Lazarus Group también han seguido evolucionando con el tiempo. De vez en cuando aparecerán nuevos métodos de blanqueo de dinero. El cronograma de cambios en los métodos de lavado de dinero es el siguiente:

Análisis de perfiles de pandillas

Con base en el fuerte apoyo relacionado con la inteligencia de los socios de la red de inteligencia de InMist, el equipo de SlowMist AML siguió y analizó los datos relacionados con estos incidentes de robo y el grupo de hackers Lazarus Group, y luego obtuvo un retrato parcial del grupo de hackers Lazarus Group:

• A menudo utilizan la identidad europea o turca como disfraz.
• Se han obtenido docenas de información de IP, numerosas direcciones de correo electrónico y cierta información de identidad no sensible:
  • 111...49
  • 103...162
  • 103...205
  • 210...9
  • 103...29
  • 103...163
  • 154...10
  • 185...217

Escurridores de billetera

Nota: Esta sección fue escrita por Scam Sniffer, por lo que me gustaría expresar mi gratitud.

Resumen

Wallet Drainers, un tipo de malware relacionado con criptomonedas, logró un "éxito" notable el año pasado. Estos programas de software se implementan en sitios web de phishing para engañar a los usuarios para que firmen transacciones maliciosas, robando así activos de sus billeteras de criptomonedas. Estas actividades de phishing se dirigen continuamente a usuarios comunes de diversas formas, lo que genera importantes pérdidas financieras para muchos de los que, sin saberlo, firman estas transacciones maliciosas.

Estadísticas de fondos robados

Durante el año pasado, Scam Sniffer detectó que Wallet Drainers robó casi 295 millones de dólares de aproximadamente 324.000 víctimas.

Tendencias

En particular, el 11 de marzo, se robaron casi 7 millones de dólares, principalmente debido a las fluctuaciones en el tipo de cambio del USDC y a los sitios de phishing que se hacían pasar por Circle. También hubo un aumento significativo en los robos alrededor del 24 de marzo, coincidiendo con el compromiso de Discord de Arbitrum y los eventos de lanzamiento aéreo posteriores.

Cada pico de robos está asociado con eventos que afectan a toda la comunidad, que podrían ser lanzamientos aéreos o incidentes de piratería informática.

Escurridores de carteras destacados

Después de que ZachXBT expusiera a Monkey Drainer, anunciaron su salida después de estar activos durante 6 meses. Luego, Venom se hizo cargo de la mayor parte de su clientela. Posteriormente, alrededor de marzo surgieron MS, Inferno, Angel y Pink. Cuando Venom dejó de operar alrededor de abril, la mayoría de los grupos de phishing pasaron a utilizar otros servicios. Con una tarifa de Drainer del 20%, ganaron al menos 47 millones de dólares vendiendo estos servicios.

Tendencias en drenajes de carteras

El análisis de la tendencia muestra que las actividades de phishing han aumentado constantemente. Además, cada vez que sale un Drainer, uno nuevo lo reemplaza, como Angel que emerge como reemplazo después de que Inferno anunciara su partida.

¿Cómo inician actividades de phishing?

Estos sitios web de phishing adquieren tráfico principalmente a través de varios métodos:

• Ataques de piratas informáticos:
  • Hackean las cuentas oficiales del proyecto Discord y Twitter
  • Ataques al front-end de proyectos oficiales o a las bibliotecas que utilizan
• Tráfico Orgánico
  • Lanzamiento aéreo de NFT o tokens
  • Explotar enlaces caducados de Discord
  • Recordatorios y comentarios de spam en Twitter
• Tráfico pagado
  • búsqueda de anuncios de google
  • Anuncios de Twitter

Aunque los ataques de piratas informáticos tienen un gran impacto, la comunidad suele reaccionar rápidamente, normalmente entre 10 y 50 minutos. Por el contrario, los airdrops, el tráfico orgánico, la publicidad paga y la explotación de enlaces caducados de Discord son menos notorios.

Firmas de phishing comunes

Los diferentes tipos de activos tienen diferentes formas de iniciar firmas de phishing maliciosas. Los anteriores son algunos métodos de firma de phishing comunes para diferentes tipos de activos. Los Drainers decidirán qué tipo de firma de phishing malicioso iniciar en función de los tipos de activos que contiene la billetera de la víctima.

Por ejemplo, en el caso de la explotación de signalTransfer de GMX para robar tokens Reward LP, es evidente que las técnicas de phishing se han vuelto muy sofisticadas y adaptadas a activos específicos.

Aumentar el uso de contratos inteligentes

1）Multillamada

A partir de Inferno, ha habido un mayor enfoque en el uso de tecnología por contrato. Por ejemplo, en los casos en que dividir las tarifas de transacción requiere dos transacciones separadas, es posible que el proceso no sea lo suficientemente rápido. Esto podría permitir a la víctima revocar la autorización antes de la segunda transferencia. Para mejorar la eficiencia, comenzaron a utilizar llamadas múltiples para transferencias de activos más efectivas.

2）CREAR2 Y CREAR

Para evitar algunos controles de seguridad de la billetera, también comenzaron a experimentar con create2 o create para generar direcciones temporales dinámicamente. Este enfoque hace que las listas negras basadas en billeteras sean ineficaces y complica la investigación de actividades de phishing. Dado que no se puede saber dónde se transferirán los activos sin firmar y las direcciones temporales no ofrecen mucho valor analítico, esto plantea un desafío importante. Esto marca un cambio sustancial respecto al año pasado.

Sitio web de phishing

El análisis del número de sitios web de phishing revela un aumento mensual constante en las actividades de phishing, estrechamente relacionado con la disponibilidad de servicios estables de drenaje de billeteras.

Los dominios utilizados por estos sitios web de phishing están registrados principalmente con registradores de dominios específicos. El análisis de las direcciones de los servidores muestra que la mayoría usa Cloudflare para ocultar las ubicaciones reales de sus servidores.

Herramientas de lavado de dinero

Simbad

Sinbad es un mezclador de Bitcoin establecido el 5 de octubre de 2022. Oculta los detalles de la transacción para ocultar el flujo de fondos en la cadena de bloques.

El Departamento del Tesoro de Estados Unidos describe a Sinbad como un “mezclador de divisas virtual, una herramienta principal de lavado de dinero para el grupo de piratería norcoreano Lazarus, designado por la OFAC”. Sinbad ha manejado fondos de los incidentes de piratería de Horizon Bridge y Axie Infinity y también ha transferido fondos relacionados con actividades como “evadir sanciones, tráfico de drogas, comprar materiales relacionados con la explotación sexual infantil y participar en otras ventas ilegales en el mercado de la web oscura”. "

Los hackers Alphapo (Grupo Lazarus) utilizaron Sinbad en su proceso de lavado de dinero, como se ve en transacciones como:

(https://oxt.me/transaction/2929e9d0055a431e1879b996d0d6f70aa607bb123d12bfad42e1f507d1d200a5)

Tornado en efectivo

(https://dune.com/misttrack/mixer-2023)

Tornado Cash es un protocolo sin custodia totalmente descentralizado que mejora la privacidad de las transacciones al romper el vínculo en cadena entre las direcciones de origen y de destino. Para proteger la privacidad, Tornado Cash utiliza un contrato inteligente que acepta ETH y otros depósitos de tokens desde una dirección y les permite retirarlos a una dirección diferente, es decir, enviar ETH y otros tokens a cualquier dirección de una manera que oculte la dirección de envío. .

En 2023, los usuarios depositaron un total de 342,042 ETH (aproximadamente $614 millones) en Tornado Cash y retiraron un total de 314,740 ETH (aproximadamente $567 millones) de Tornado Cash.

eXc

(https://dune.com/misttrack/mixer-2023)

En 2023, los usuarios depositaron un total de 47.235 ETH (aproximadamente 90,14 millones de dólares) en eXch, y un total de 25.508.148 monedas estables ERC20 (aproximadamente 25,5 millones de dólares) se depositaron en eXch.

Cañón de riel

Railgun utiliza la tecnología criptográfica de zk-SNARK para hacer que las transacciones sean completamente invisibles. Railgun "protege" los tokens del usuario dentro de su sistema de privacidad, de modo que cada transacción parece enviarse desde la dirección del contrato de Railgun en la cadena de bloques.

A principios de 2023, el FBI declaró que el grupo de hackers norcoreano Lazarus Group utilizó Railgun para lavar más de 60 millones de dólares en fondos robados del Puente Horizon de Harmony.

Conclusión

Este artículo presenta las actividades del grupo de hackers norcoreano, Lazarus Group, en el año 2023. El equipo de seguridad de SlowMist ha estado monitoreando continuamente a este grupo de piratas informáticos y ha resumido y analizado su dinámica y métodos de lavado de dinero para crear un perfil del grupo. En 2023, las bandas de pescadores se han vuelto rampantes, causando enormes pérdidas financieras a la industria blockchain. Estas bandas operan de manera coordinada, presentando un patrón de ataques de “relevo”. Sus ataques continuos y a gran escala plantean desafíos importantes para la seguridad de la industria. Nos gustaría expresar nuestro agradecimiento a la plataforma antifraude Web3, Scam Sniffer, por revelar la banda de phishing Wallet Drainers. Creemos que esta información es de gran importancia para comprender sus métodos de trabajo y su situación de ganancias. Por último, también proporcionamos una introducción a las herramientas de lavado de dinero que suelen utilizar los piratas informáticos.

Descargue el informe completo:

https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(EN).pdf

Descargo de responsabilidad:

1. Este artículo está reimpreso de [Tecnología SlowMist]. Todos los derechos de autor pertenecen al autor original [equipo de seguridad de niebla lenta]. Si hay objeciones a esta reimpresión, comuníquese con el equipo de Gate Learn y ellos lo manejarán de inmediato.
2. Descargo de responsabilidad: los puntos de vista y opiniones expresados en este artículo son únicamente los del autor y no constituyen ningún consejo de inversión.
3. Las traducciones del artículo a otros idiomas están a cargo del equipo de Gate Learn. A menos que se mencione, está prohibido copiar, distribuir o plagiar los artículos traducidos.