Phân tích hoạt động trộm cắp và rửa tiền tài sản tiền điện tử của tổ chức hacker Bắc Triều Tiên Lazarus Group
Gần đây, một báo cáo mật của Liên Hợp Quốc đã tiết lộ các hoạt động mới nhất của băng nhóm hacker Lazarus Group từ Triều Tiên. Được biết, tổ chức này đã đánh cắp tiền từ một sàn giao dịch Tài sản tiền điện tử vào năm ngoái và đã rửa tiền 1,475 triệu USD thông qua một nền tảng tiền ảo vào tháng 3 năm nay.
Các thanh tra của Ủy ban trừng phạt của Hội đồng Bảo an Liên Hợp Quốc đang điều tra 97 vụ tấn công mạng nghi ngờ của các Hacker Triều Tiên nhằm vào các công ty Tài sản tiền điện tử diễn ra từ năm 2017 đến 2024, với tổng số tiền khoảng 3.6 tỷ USD. Trong số đó có vụ tấn công vào một sàn giao dịch Tài sản tiền điện tử vào cuối năm ngoái, gây thiệt hại 147.5 triệu USD, sau đó vào tháng 3 năm nay đã hoàn tất việc Rửa tiền.
Năm 2022, Mỹ đã thực hiện các biện pháp trừng phạt đối với nền tảng tài sản tiền điện tử này. Năm sau đó, hai người đồng sáng lập của nó bị buộc tội đã hỗ trợ rửa tiền hơn 1 tỷ USD, trong đó có liên quan đến tổ chức tội phạm mạng Lazarus Group có liên quan đến Triều Tiên.
Nghiên cứu của các chuyên gia điều tra Tài sản tiền điện tử cho thấy, Nhóm Lazarus đã chuyển đổi giá trị 200 triệu USD Tài sản tiền điện tử thành tiền tệ hợp pháp trong khoảng thời gian từ tháng 8 năm 2020 đến tháng 10 năm 2023.
Nhóm Lazarus từ lâu đã bị cáo buộc thực hiện các cuộc tấn công mạng quy mô lớn và tội phạm tài chính. Mục tiêu của họ không bị giới hạn trong một ngành hoặc khu vực cụ thể nào, mà trải rộng toàn cầu, từ hệ thống ngân hàng đến Tài sản tiền điện tử, từ các cơ quan chính phủ đến các doanh nghiệp tư nhân. Dưới đây sẽ phân tích một vài trường hợp tấn công điển hình, tiết lộ cách mà Nhóm Lazarus thực hiện những cuộc tấn công đáng kinh ngạc này thông qua các chiến lược và phương pháp kỹ thuật phức tạp.
Tấn công kỹ thuật xã hội và lừa đảo qua mạng của Nhóm Lazarus
Lazarus đã từng nhắm mục tiêu vào các công ty quân sự và hàng không vũ trụ ở Châu Âu và Trung Đông, đăng quảng cáo tuyển dụng giả trên các nền tảng xã hội để lừa đảo nhân viên. Họ yêu cầu các ứng viên tải xuống PDF chứa tệp thực thi độc hại, từ đó thực hiện cuộc tấn công lừa đảo.
Các cuộc tấn công này tận dụng sự thao túng tâm lý để khiến nạn nhân lơ là, thực hiện các hành động nguy hiểm như nhấp vào liên kết hoặc tải xuống tệp. Phần mềm độc hại của họ có khả năng nhắm vào các lỗ hổng trong hệ thống của nạn nhân và đánh cắp thông tin nhạy cảm.
Trong một chiến dịch kéo dài sáu tháng nhắm vào một nhà cung cấp thanh toán tiền điện tử, Lazarus đã sử dụng các phương pháp tương tự, dẫn đến việc công ty bị đánh cắp 37 triệu đô la. Trong suốt quá trình, họ đã gửi cơ hội việc làm giả cho các kỹ sư, phát động các cuộc tấn công từ chối dịch vụ phân tán và cố gắng bẻ khóa mật khẩu.
Nhiều sự kiện tấn công sàn giao dịch Tài sản tiền điện tử
Từ tháng 8 đến tháng 10 năm 2020, Nhóm Lazarus đã tấn công nhiều sàn giao dịch Tài sản tiền điện tử, bao gồm CoinBerry, Unibright và CoinMetro. Các cuộc tấn công này liên quan đến số tiền từ 400.000 đến 750.000 đô la.
Kẻ tấn công thông qua một loạt các chuyển khoản và thao tác làm mờ phức tạp, cuối cùng đã tập hợp tiền vào một địa chỉ cụ thể. Vào tháng 1 năm 2021, họ đã gửi và rút một lượng lớn ETH thông qua một nền tảng trộn coin nào đó. Đến năm 2023, các khoản tiền này đã trải qua nhiều lần chuyển nhượng và trao đổi, cuối cùng được gửi đến một số địa chỉ rút tiền.
Tấn công định hướng vào mục tiêu có giá trị cao
Vào tháng 12 năm 2020, người sáng lập một nền tảng bảo hiểm tương hỗ đã bị tấn công bởi Nhóm Lazarus, dẫn đến việc mất 8,3 triệu đô la Mỹ tài sản tiền điện tử. Kẻ tấn công đã chuyển và đổi tiền qua nhiều địa chỉ, và sử dụng các thao tác chéo chuỗi và nền tảng trộn coin để làm mờ nguồn gốc của các quỹ.
Giữa tháng 12 năm 2020, các hacker đã gửi một lượng lớn ETH đến nền tảng trộn coin. Sau đó, họ đã chuyển một phần tài sản đến địa chỉ rút tiền đã đề cập trước đó thông qua một loạt các thao tác chuyển nhượng và trao đổi.
Từ tháng 5 đến tháng 7 năm 2021, các kẻ tấn công đã chuyển 11 triệu USDT vào địa chỉ gửi tiền của một nền tảng giao dịch nào đó. Từ tháng 2 đến tháng 6 năm 2023, họ lại chuyển một lượng lớn USDT sang các nền tảng giao dịch khác thông qua các địa chỉ khác nhau.
Phân tích sự kiện tấn công mới nhất
Vào tháng 8 năm 2023, Nhóm Lazarus đã tấn công hai dự án Steadefi và CoinShift, lần lượt đánh cắp 624 coin và 900 coin ETH. Những khoản tiền bị đánh cắp này sau đó đã được chuyển đến nền tảng trộn coin.
Kẻ tấn công sau khi làm rối tài sản, đã rút chúng về một vài địa chỉ cụ thể. Vào tháng 10 năm 2023, các tài sản này được tập trung vào một địa chỉ mới. Sang tháng sau, kẻ tấn công bắt đầu chuyển tiền, cuối cùng thông qua việc trung gian và trao đổi, đã gửi tài sản đến địa chỉ gửi tiền của một số sàn giao dịch.
Tóm tắt
Mô hình rửa tiền của Nhóm Lazarus thể hiện một số quy luật nhất định: sau khi đánh cắp tài sản tiền điện tử, họ thường thực hiện các thao tác xuyên chuỗi và sử dụng các nền tảng trộn coin để làm rối tiền. Sau khi làm rối, họ rút tiền về một địa chỉ cụ thể, sau đó gửi đến một số nhóm địa chỉ cố định để thực hiện thao tác rút tiền. Những tài sản bị đánh cắp này cuối cùng thường được gửi vào địa chỉ gửi tiền của một số nền tảng giao dịch, rồi đổi thành tiền pháp định thông qua dịch vụ giao dịch ngoài sàn.
Trước mối đe dọa liên tục từ Nhóm Lazarus, ngành Web3 đang đối mặt với những thách thức an ninh nghiêm trọng. Các cơ quan liên quan đang liên tục theo dõi động thái của nhóm hacker này và theo dõi sâu về phương thức rửa tiền của họ, nhằm hỗ trợ các bên dự án, cơ quan quản lý và thực thi pháp luật trong việc chống lại các tội phạm như vậy và thu hồi tài sản bị đánh cắp.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
7 thích
Phần thưởng
7
3
Chia sẻ
Bình luận
0/400
BearMarketLightning
· 2giờ trước
Đã đến lúc kiểm tra vốn rồi, thật sự không chịu nổi nữa.
Xem bản gốcTrả lời0
OldLeekMaster
· 2giờ trước
Nhóm người này chắc là tội phạm quen rồi...
Xem bản gốcTrả lời0
NullWhisperer
· 2giờ trước
mẫu vuln thú vị... lazarus vẫn khai thác các vector tấn công giống nhau thật lòng smh
Nhóm Lazarus Rửa tiền 1.475 triệu USD Chuyên gia tiết lộ mô hình tấn công và rửa tiền tài sản tiền điện tử của họ
Phân tích hoạt động trộm cắp và rửa tiền tài sản tiền điện tử của tổ chức hacker Bắc Triều Tiên Lazarus Group
Gần đây, một báo cáo mật của Liên Hợp Quốc đã tiết lộ các hoạt động mới nhất của băng nhóm hacker Lazarus Group từ Triều Tiên. Được biết, tổ chức này đã đánh cắp tiền từ một sàn giao dịch Tài sản tiền điện tử vào năm ngoái và đã rửa tiền 1,475 triệu USD thông qua một nền tảng tiền ảo vào tháng 3 năm nay.
Các thanh tra của Ủy ban trừng phạt của Hội đồng Bảo an Liên Hợp Quốc đang điều tra 97 vụ tấn công mạng nghi ngờ của các Hacker Triều Tiên nhằm vào các công ty Tài sản tiền điện tử diễn ra từ năm 2017 đến 2024, với tổng số tiền khoảng 3.6 tỷ USD. Trong số đó có vụ tấn công vào một sàn giao dịch Tài sản tiền điện tử vào cuối năm ngoái, gây thiệt hại 147.5 triệu USD, sau đó vào tháng 3 năm nay đã hoàn tất việc Rửa tiền.
Năm 2022, Mỹ đã thực hiện các biện pháp trừng phạt đối với nền tảng tài sản tiền điện tử này. Năm sau đó, hai người đồng sáng lập của nó bị buộc tội đã hỗ trợ rửa tiền hơn 1 tỷ USD, trong đó có liên quan đến tổ chức tội phạm mạng Lazarus Group có liên quan đến Triều Tiên.
Nghiên cứu của các chuyên gia điều tra Tài sản tiền điện tử cho thấy, Nhóm Lazarus đã chuyển đổi giá trị 200 triệu USD Tài sản tiền điện tử thành tiền tệ hợp pháp trong khoảng thời gian từ tháng 8 năm 2020 đến tháng 10 năm 2023.
Nhóm Lazarus từ lâu đã bị cáo buộc thực hiện các cuộc tấn công mạng quy mô lớn và tội phạm tài chính. Mục tiêu của họ không bị giới hạn trong một ngành hoặc khu vực cụ thể nào, mà trải rộng toàn cầu, từ hệ thống ngân hàng đến Tài sản tiền điện tử, từ các cơ quan chính phủ đến các doanh nghiệp tư nhân. Dưới đây sẽ phân tích một vài trường hợp tấn công điển hình, tiết lộ cách mà Nhóm Lazarus thực hiện những cuộc tấn công đáng kinh ngạc này thông qua các chiến lược và phương pháp kỹ thuật phức tạp.
Tấn công kỹ thuật xã hội và lừa đảo qua mạng của Nhóm Lazarus
Lazarus đã từng nhắm mục tiêu vào các công ty quân sự và hàng không vũ trụ ở Châu Âu và Trung Đông, đăng quảng cáo tuyển dụng giả trên các nền tảng xã hội để lừa đảo nhân viên. Họ yêu cầu các ứng viên tải xuống PDF chứa tệp thực thi độc hại, từ đó thực hiện cuộc tấn công lừa đảo.
Các cuộc tấn công này tận dụng sự thao túng tâm lý để khiến nạn nhân lơ là, thực hiện các hành động nguy hiểm như nhấp vào liên kết hoặc tải xuống tệp. Phần mềm độc hại của họ có khả năng nhắm vào các lỗ hổng trong hệ thống của nạn nhân và đánh cắp thông tin nhạy cảm.
Trong một chiến dịch kéo dài sáu tháng nhắm vào một nhà cung cấp thanh toán tiền điện tử, Lazarus đã sử dụng các phương pháp tương tự, dẫn đến việc công ty bị đánh cắp 37 triệu đô la. Trong suốt quá trình, họ đã gửi cơ hội việc làm giả cho các kỹ sư, phát động các cuộc tấn công từ chối dịch vụ phân tán và cố gắng bẻ khóa mật khẩu.
Nhiều sự kiện tấn công sàn giao dịch Tài sản tiền điện tử
Từ tháng 8 đến tháng 10 năm 2020, Nhóm Lazarus đã tấn công nhiều sàn giao dịch Tài sản tiền điện tử, bao gồm CoinBerry, Unibright và CoinMetro. Các cuộc tấn công này liên quan đến số tiền từ 400.000 đến 750.000 đô la.
Kẻ tấn công thông qua một loạt các chuyển khoản và thao tác làm mờ phức tạp, cuối cùng đã tập hợp tiền vào một địa chỉ cụ thể. Vào tháng 1 năm 2021, họ đã gửi và rút một lượng lớn ETH thông qua một nền tảng trộn coin nào đó. Đến năm 2023, các khoản tiền này đã trải qua nhiều lần chuyển nhượng và trao đổi, cuối cùng được gửi đến một số địa chỉ rút tiền.
Tấn công định hướng vào mục tiêu có giá trị cao
Vào tháng 12 năm 2020, người sáng lập một nền tảng bảo hiểm tương hỗ đã bị tấn công bởi Nhóm Lazarus, dẫn đến việc mất 8,3 triệu đô la Mỹ tài sản tiền điện tử. Kẻ tấn công đã chuyển và đổi tiền qua nhiều địa chỉ, và sử dụng các thao tác chéo chuỗi và nền tảng trộn coin để làm mờ nguồn gốc của các quỹ.
Giữa tháng 12 năm 2020, các hacker đã gửi một lượng lớn ETH đến nền tảng trộn coin. Sau đó, họ đã chuyển một phần tài sản đến địa chỉ rút tiền đã đề cập trước đó thông qua một loạt các thao tác chuyển nhượng và trao đổi.
Từ tháng 5 đến tháng 7 năm 2021, các kẻ tấn công đã chuyển 11 triệu USDT vào địa chỉ gửi tiền của một nền tảng giao dịch nào đó. Từ tháng 2 đến tháng 6 năm 2023, họ lại chuyển một lượng lớn USDT sang các nền tảng giao dịch khác thông qua các địa chỉ khác nhau.
Phân tích sự kiện tấn công mới nhất
Vào tháng 8 năm 2023, Nhóm Lazarus đã tấn công hai dự án Steadefi và CoinShift, lần lượt đánh cắp 624 coin và 900 coin ETH. Những khoản tiền bị đánh cắp này sau đó đã được chuyển đến nền tảng trộn coin.
Kẻ tấn công sau khi làm rối tài sản, đã rút chúng về một vài địa chỉ cụ thể. Vào tháng 10 năm 2023, các tài sản này được tập trung vào một địa chỉ mới. Sang tháng sau, kẻ tấn công bắt đầu chuyển tiền, cuối cùng thông qua việc trung gian và trao đổi, đã gửi tài sản đến địa chỉ gửi tiền của một số sàn giao dịch.
Tóm tắt
Mô hình rửa tiền của Nhóm Lazarus thể hiện một số quy luật nhất định: sau khi đánh cắp tài sản tiền điện tử, họ thường thực hiện các thao tác xuyên chuỗi và sử dụng các nền tảng trộn coin để làm rối tiền. Sau khi làm rối, họ rút tiền về một địa chỉ cụ thể, sau đó gửi đến một số nhóm địa chỉ cố định để thực hiện thao tác rút tiền. Những tài sản bị đánh cắp này cuối cùng thường được gửi vào địa chỉ gửi tiền của một số nền tảng giao dịch, rồi đổi thành tiền pháp định thông qua dịch vụ giao dịch ngoài sàn.
Trước mối đe dọa liên tục từ Nhóm Lazarus, ngành Web3 đang đối mặt với những thách thức an ninh nghiêm trọng. Các cơ quan liên quan đang liên tục theo dõi động thái của nhóm hacker này và theo dõi sâu về phương thức rửa tiền của họ, nhằm hỗ trợ các bên dự án, cơ quan quản lý và thực thi pháp luật trong việc chống lại các tội phạm như vậy và thu hồi tài sản bị đánh cắp.