朝鲜黑客组织Lazarus Group的加密货币盗窃与洗钱活动分析

近期，一份联合国机密报告揭示了朝鲜黑客团伙Lazarus Group的最新活动。据悉，该组织去年从一家加密货币交易所窃取资金后，于今年3月通过某虚拟货币平台洗钱1.475亿美元。

联合国安理会制裁委员会的监察员正在调查2017年至2024年间发生的97起疑似朝鲜黑客针对加密货币公司的网络攻击，涉及金额约36亿美元。其中包括去年年底对某加密货币交易所的攻击，造成1.475亿美元损失，随后于今年3月完成洗钱。

2022年，美国对该虚拟货币平台实施制裁。次年，其两名联合创始人被指控协助洗钱超过10亿美元，其中涉及与朝鲜有关的网络犯罪组织Lazarus Group。

加密货币调查专家的研究显示，Lazarus Group在2020年8月至2023年10月期间将价值2亿美元的加密货币转换为法定货币。

Lazarus Group长期以来一直被指控进行大规模的网络攻击和金融犯罪。他们的目标不局限于特定行业或地区，而是遍布全球，从银行系统到加密货币交易所，从政府机构到私人企业。以下将分析几个典型的攻击案例，揭示Lazarus Group如何通过其复杂的策略和技术手段实施这些惊人的攻击。

Lazarus Group的社会工程和网络钓鱼攻击

Lazarus曾将欧洲和中东的军事和航空航天公司作为目标，在社交平台上发布虚假招聘广告欺骗员工。他们要求求职者下载含有恶意可执行文件的PDF，从而实施钓鱼攻击。

这些攻击利用心理操纵诱使受害者放松警惕，执行危险操作如点击链接或下载文件。他们的恶意软件能够瞄准受害者系统中的漏洞并窃取敏感信息。

在针对某加密货币支付提供商的为期六个月的行动中，Lazarus使用了类似的方法，导致该公司被盗3700万美元。整个过程中，他们向工程师发送虚假工作机会，发起分布式拒绝服务等技术攻击，并尝试暴力破解密码。

多起加密货币交易所攻击事件

2020年8月至10月，Lazarus Group先后攻击了多家加密货币交易所，包括CoinBerry、Unibright和CoinMetro等。这些攻击涉及的金额从40万美元到75万美元不等。

攻击者通过一系列复杂的资金转移和混淆操作，最终将资金汇集到特定地址。2021年1月，他们通过某混币平台存入并提取了大量ETH。到2023年，这些资金经过多次转移和兑换，最终被发送至某些提现地址。

针对高价值目标的定向攻击

2020年12月，某互助保险平台的创始人遭到Lazarus Group的攻击，损失了价值830万美元的代币。攻击者通过多个地址转移和兑换资金，并利用跨链操作和混币平台进行资金混淆。

2020年12月中旬，攻击者将大量ETH发送至混币平台。之后，他们通过一系列转移和兑换操作，将部分资金转移至之前提到的资金归集提现地址。

2021年5月至7月，攻击者将1100万USDT转入某交易平台的存款地址。2023年2月至6月，他们又通过不同地址向其他交易平台转移了大量USDT。

最新攻击事件分析

2023年8月，Lazarus Group攻击了Steadefi和CoinShift两个项目，分别盗取了624枚和900枚ETH。这些被盗资金随后被转移到混币平台。

攻击者在混淆资金后，将其提取到几个特定地址。2023年10月，这些资金被集中到一个新地址。次月，攻击者开始转移资金，最终通过中转和兑换，将资金发送到某些交易平台的存款地址。

总结

Lazarus Group的洗钱模式呈现出一定规律：他们在盗取加密资产后，通常通过跨链操作和混币平台进行资金混淆。混淆后，他们将资金提取到特定地址，然后发送到固定的一些地址群进行提现操作。这些被盗资产最终多被存入某些交易平台的存款地址，然后通过场外交易服务兑换为法币。

面对Lazarus Group的持续威胁，Web3行业面临着严峻的安全挑战。相关机构正在持续关注该黑客团伙的动态，并对其洗钱方式进行深入追踪，以协助项目方、监管与执法部门打击此类犯罪，追回被盗资产。