國家級APT(Advanced Persistent Threat,高級持續性威脅)組織是有國家背景支持的頂尖黑客團夥,專門針對特定目標進行長期的持續性網絡攻擊。朝鮮APT 組織Lazarus Group 是非常活躍的一個APT 團夥,其攻擊目的主要以竊取資金為主,堪稱全球金融機構的最大威脅,近年來多起加密貨幣領域的攻擊和資金竊取案件就是他們所為。
一、Lazarus Group
根據維基百科資料,Lazarus Group 成立於2007 年,隸屬於朝鮮人民軍總參謀部偵察總局第三局旗下的110 號研究中心,專門負責網絡戰。該組織分為2 個部門,一個是大約1700 名成員的BlueNorOff(也稱為APT 38),負責透過偽造SWIFT 訂單進行非法轉賬,專注於利用網絡漏洞謀取經濟利益或控制系統來實施金融網絡犯罪,此部門針對金融機構和加密貨幣交易所。另一個是大約1600 名成員的AndAriel,以韓國為攻擊目標。
已知Lazarus Group 最早的攻擊活動是2009 年其利用DDoS 技術來攻擊韓國政府的「特洛伊行動」。而最著名的一次是2014 年對索尼影業的攻擊,因為索尼上映關於暗殺北韓領導人金正恩的喜劇。
該組織旗下機構BlueNorOff 的一次知名攻擊是2016 年的孟加拉國銀行攻擊案,他們試圖利用SWIFT 網絡從屬於孟加拉國中央銀行的紐約聯邦儲備銀行賬戶非法轉移近10 億美元。在完成了幾筆交易(2000 萬美元追踪到斯里蘭卡, 8100 萬美元追踪到菲律賓)後,紐約聯邦儲備銀行以拼寫錯誤引起的懷疑為由阻止了其餘交易。
自2017 年以來,該組織開始對加密產業進行攻擊,並獲利至少10 億美元。
二、技戰法分析
2.1 常用攻擊手法分析
Lazarus 早期多利用殭屍網絡對目標進行DDos 攻擊;目前主要攻擊手法轉為魚叉攻擊、水坑攻擊、供應鏈攻擊等手法,也針對不同人員採取定向社會工程學攻擊。
戰術特徵:
(1)使用郵件魚叉攻擊和水坑攻擊
(2)攻擊過程會利用系統破壞或勒索應用程式碼事件的分析
(3)利用SMB 協定漏洞或相關蠕蟲工具實現橫向移動和載重投放
(4)攻擊銀行SWIFT 系統實現資金盜取
技術特徵:
(1)使用多種加密算法,包括RC 4 ,AES, Spritz 等標準算法,也使用XOR 和自定義字符變換算法
(2)主要使用虛假構造的TLS 協議,透過在SNI record 中寫入白色域名來Bypass IDS。也使用IRC、HTTP 協議
(3)透過破壞MBR、分區表或寫入垃圾資料到扇區而破壞系統
(4)使用自刪除腳本
攻擊手段:
(1)魚叉攻擊:魚叉攻擊是電腦病毒術語,是駭客攻擊方式之一。將木馬程式作為電子郵件的附件,並起上一個極具誘惑力的名稱,發送給目標電腦,誘使受害者打開附件,從而感染木馬。 Lazarus 通常以郵件夾帶惡意檔案作為誘餌,常見檔案格式為DOCX,後期增加了BMP 格式。入侵方式主要利用惡意宏與Office 常見漏洞、 0 day 漏洞、植入RAT 的手法。
(2)水坑攻擊:顧名思義,是在受害者必經之路設置了一個“水坑(陷阱)”,最常見的做法是,黑客分析攻擊目標的上網活動規律,尋找攻擊目標經常訪問的網站的弱點,先將此網站「攻破」並植入攻擊代碼,一旦攻擊目標造訪網站就會「中招」。 Lazarus 通常針對貧窮的或欠發達地區的小規模銀行金融機構使用水坑攻擊,這樣就可以在短時間內大規模盜取資金。 2017 年,Lazarus 對波蘭金融監理機構發動水坑攻擊,在網站官方網站植入惡意的JavaScript 漏洞,導致波蘭多家銀行被植入惡意程式。這次攻擊感染了31 個國家的104 個組織,大多數目標是位於波蘭、智利、美國、墨西哥和巴西的金融機構。
(3)社工攻擊:社會工程攻擊,是一種利用"社會工程學"來實施的網絡攻擊行為。在電腦科學中,社會工程學指的是透過與他人的合法地交流,來使其心理受到影響,做出某些動作或透露一些機密資訊的方式。這通常被認為是一種欺詐他人以收集信息、行騙和入侵電腦系統的行為。 Lazarus 擅長將社工技術運用到攻擊週期中,無論是投遞的誘餌還是身份偽裝,都令受害者無法甄別,從而掉入它的陷阱中。 2020 年期間,Lazarus 在領英網站偽裝招募加密貨幣工作人員並發送惡意文檔,旨在獲取憑證從而盜取目標加密貨幣。 2021 年,Lazarus 以網路安全人員身分潛伏在Twitter 中,伺機發送嵌入惡意程式碼的工程檔案攻擊同儕人員。
武器庫:
Lazarus 使用的網路武器包含大量自訂工具,使用程式碼有許多相似之處。肯定地說,這些軟件來自相同的開發人員,可以說明Lazarus 背後有一個具有一定規模的開發團隊。 Lazarus 擁有的攻擊能力和工具包括DDoS botnets、 keyloggers、 RATs、wiper malware,使用的惡意程式碼包括Destover、Duuzer 和Hangman 等。
2.2 典型攻擊事件分析
以下以一起典型的Lazarus 針對加密產業的魚叉攻擊為例進行分析。 Lazarus 透過郵件附件或連結的方式,誘導目標工作人員下載惡意壓縮包,並執行壓縮包中的惡意檔案。
郵件末尾的「CoinbaseJobDescription」即為惡意連結並誘導使用者點擊,一旦點擊使用者就會下載惡意壓縮包,並執行壓縮包中的惡意檔案。壓縮包分為三種情況:
(1)釋放加密的誘餌檔案和一個帶有惡意命令的LNK 文件,由LNK 文件下載後續載荷,後續負載釋放文件密鑰和惡意腳本;
(2)釋放LNK 文件,LNK 檔案下載後續載重,後續載重釋放誘餌檔和惡意腳本;
(3)釋放帶有宏的OFFICE 文件,由惡意宏下載後續載重並執行。
以樣本b94a13586828f8f3474f7b89755f5e7615ff946efd510a4cca350e6e1b4af440為例進行分析。此樣本檔案名為Ledger_Nano_SX_Security_Patch_Manual.zip,是一個zip 壓縮包,檔案名稱中的LedgerNano 是一款硬件錢包,用於保護加密資產,S 和X 是其型號。
樣本偽裝成LedgerNano 的安全補丁手冊,解壓縮後會釋放一個偽裝成pdf 檔的捷徑檔案:
用戶雙擊該快捷方式後,會執行指令:
在這個指令中,使用cmd 靜默執行expand 程序,將msiexec.exe 複製到%appdata%\pat.exe 路徑下,然後使用pcalua.exe 開啟pat.exe,從遠端伺服器上下載msi 檔案並執行。這個過程中使用了多種逃避木馬偵測的技術:
(1)expand.exe 是系統用來解壓縮壓縮包的程序,但可以用來進行檔案複製,取代敏感的copy 指令;
(2)複製並重新命名msiexec.exe,以逃避對msiexec.exe 的執行偵測;
(3)pcalua.exe 是windows 程序相容性助手,是系統的白名單程序,攻擊者使用該程序呼叫重命名為pat.exe 的msiexec.exe,訪問遠端服務器上的惡意msi 文件,從而逃避偵測。
取得到的MSI 檔案執行後,會執行內嵌的腳本:
該腳本為Lazarus 典型的一階段腳本,其功能包括:
(1)下載並開啟正常的PDF 檔案從而迷惑受害者;
(2)向啟動目錄釋放Edge.lnk 文件,完成自啟動;lnk 檔案執行的命令與樣本解壓縮後的lnk 文件基本上相同,也是使用pcalua.exe 調用重命名後的msiexec.exe 加載遠端伺服器上的msi檔案;該檔案的名稱和圖示都偽裝為Edge 瀏覽器,使受害者降低警覺;
(3)呼叫WMI 指令取得進程名稱清單並進行拼接,然後檢查下列程式名稱:
「kwsprot」:金山毒霸相關進程
“npprot”:Net ProtectorAntiVirus 相關進程
“fshoster”:F-Secure 相關進程
(4)如果拼接後的程式名稱中存在上述字符串之一,則會使用cscript.exe 執行後續腳本,否則使npprot 以wscript.exe;
(5)將選定的腳本執行程式複製到%public%目錄下;並且如果進程名稱中存在kwsprot 或npprot,會將用於執行腳本的程式重新命名為icb.exe,以逃避檢測;
(6)解碼base 64 編碼的後續腳本,釋放到臨時資料夾下,命名為RgdASRgrsF.js
(7)使用複製到%public%目錄下的腳本執行程序,執行RgdASRgrsF.js
RgdASRgrsF.js 是Lazarus 典型的二階段腳本,其功能非常簡單,生成隨機的UID 後與服務器通訊,然後循環接受服務器的命令並執行;所執行的命令通常一些收集系統資訊的命令:
至此攻擊已經完成,駭客可以在使用者電腦上獲得他所需的檔案或密碼等敏感資訊。透過對Lazarus 可以發現,目前其攻擊的目標產業包括政府、軍隊、金融、核工業、化學、醫療、航空航天、娛樂媒體和加密貨幣,從2017 年開始加密貨幣產業的比重明顯增大。
三、洗錢模式分析
目前已明確統計到的Lazarus 攻擊加密領域的安全事件和損失如下:
超過30 億美元的資金在網路攻擊中被Lazarus 盜取,據悉,Lazarus 駭客組織背後有著北韓戰略利益的支撐,為北韓的核彈、彈道飛彈計畫提供資金。為此,美國宣布懸賞500 萬美元,對Lazarus 駭客組織進行製裁。美國財政部也已將相關地址添加到OFAC 特別指定國民(SDN)名單中,禁止美國個人、實體和相關地址進行交易,以確保國家資助的集團無法兌現這些資金,以此進行製裁。以太坊開發商Virgil Griffith 因幫助朝鮮使用虛擬貨幣逃避制裁而被判處五年零三個月的監禁,今年OFAC 也制裁了三名與Lazarus Group 相關人員,其中兩名被制裁者Cheng Hung Man 和Wu Huihui 是為Lazarus 提供加密貨幣交易便利的場外交易(OTC) 交易員,而第三人Sim Hyon Sop 提供了其他財務支持。
儘管如此,Lazarus 已完成了超10 億美元的資產轉移和清洗,他們的洗錢模式分析如下。以Atomic Wallet 事件為例,在移除駭客設定的技術性因素後(大量的假代幣轉帳交易+多重地址分帳),可以得到駭客的資金轉移模式:
圖:Atomic Wallet 受害者1 資金轉移視圖
受害者1 地址0x b 0 2d...c 6072 向黑客地址0x 3916...6340 轉移304.36 ETH,經由中間地址0x 0159...7 b 70 進行8 次分帳後,歸納至地址0x 69 ca ...5324 。此後將歸集資金轉移至地址0x 514 c...58 f 67 ,目前資金仍在該地址中,地址ETH 餘額為692.74 ETH(價值127 萬美元)。
圖:Atomic Wallet 受害者2 資金轉移視圖
受害者2 地址0x0b45...d662 向黑客地址0xf0f7...79b3 轉移126.6 萬USDT,黑客將其分成三筆,其中兩筆轉移至Uniswap,轉賬總額為126.6 萬USDT;另一筆向地址0x49ce. . .80fb 進行轉移,轉移金額為672.71 ETH。受害者2 向黑客地址0x0d5a...08c2 轉移2.2 萬USDT,該黑客通過中間地址0xec13...02d6 等進行多次分賬,直接或間接將資金歸集至地址0x3c2e...94a8 。
這種洗錢模式與先前的Ronin Network、Harmony 攻擊事件中的洗錢模式高度一致,均包含三個步驟:
(1)被竊資金整理兌換:發動攻擊後整理原始被盜代幣,透過dex 等方式將多種代幣swap 成ETH。這是規避資金凍結的常用方式。
(2)被竊資金歸集:將整理好的ETH 歸集到數個一次性錢包地址。 Ronin 事件中黑客一共用了9 個這樣的地址,Harmony 使用了14 個,Atomic Wallet 事件使用了近30 個地址。
(3)被盜資金轉出:使用歸集地址透過Tornado.Cash 將錢洗出。這便完成了全部的資金轉移過程。
除了具備相同的洗錢步驟,在洗錢的細節上也有高度的一致性:
(1)攻擊者非常有耐心,均使用了長達一週的時間進行洗錢操作,均在事件發生幾天后開始後續洗錢動作。
(2)洗錢流程中均採用了自動化交易,大部分資金歸集的動作交易筆數多,時間間隔小,模式統一。
通過分析,我們認為Lazarus 的洗錢模式通常如下:
(1)多賬號分帳、小額多筆轉移資產,提高追蹤難度。
(2)開始製造大量假幣交易,提高追蹤難度。以Atomic Wallet 事件為例, 27 個中間地址中有23 個帳戶均為假幣轉移地址,近期在對Stake.com 的事件分析中也發現採用類似技術,但之前的Ronin Network、Harmony 事件並沒有這種票證技術,說明Lazarus 的洗錢技術也在升級。
(3)更多的採用鏈上方式(如Tonado Cash)進行混幣,早期的事件中Lazarus 經常使用中心化交易所獲得啟動資金或進行後續的OTC,但近期越來越少的使用中心化交易所,甚至可以認為是可以的避免使用中心化交易所,這與近期的幾起制裁事件應該有關。
About Us
SharkTeam 的願景是保護Web3世界的安全。團隊由來自世界各地的經驗豐富的安全專業人士和高級研究人員組成,精通區塊鍊和智慧合約底層理論。提供包括鏈上大數據分析、鏈上風險預警、智慧合約審計、加密資產追討等服務,並打造了鏈上大數據分析和風險預警平台ChainAegis,平台支援無限層級的深度圖分析,能有效對抗Web3世界的新型高階持續性竊盜(Advanced Persistent Theft,APT)風險。已與Web3生態各領域的關鍵參與者,如Polkadot、Moonbeam、polygon、OKX、Huobi Global、imToken、ChainIDE 等建立長期合作關係。
