國家級APT（Advanced Persistent Threat，高級持續(xù)性威脅）組織是有國家背景支持的頂尖黑客團伙，專門針對特定目標(biāo)進行長期的持續(xù)性網(wǎng)絡(luò)攻擊。朝鮮APT組織Lazarus Group就是非?；钴S的一個APT團伙，其攻擊目的主要以竊取資金為主，堪稱全球金融機構(gòu)的最大威脅，近年來多起加密貨幣領(lǐng)域的攻擊和資金竊取案件就是他們所為。

一、Lazarus Group

據(jù)維基百科資料，Lazarus Group 成立于 2007 年，隸屬于北韓人民軍總參謀部偵察總局第三局旗下的 110 號研究中心，專門負責(zé)網(wǎng)絡(luò)戰(zhàn)。該組織分為 2 個部門，一個是大約 1700 名成員的 BlueNorOff（也稱為 APT38），負責(zé)通過偽造 SWIFT 訂單進行非法轉(zhuǎn)賬，專注于利用網(wǎng)絡(luò)漏洞謀取經(jīng)濟利益或控制系統(tǒng)來實施金融網(wǎng)絡(luò)犯罪，此部門針對金融機構(gòu)和加密貨幣交易所。另一個是大約 1600 名成員的 AndAriel，以韓國為攻擊目標(biāo)。

已知 Lazarus Group 最早的攻擊活動是 2009 年其利用 DDoS 技術(shù)來攻擊韓國政府的「特洛伊行動」。而最著名的一次是 2014 年對索尼影業(yè)的攻擊，原因是索尼上映關(guān)于暗殺朝鮮領(lǐng)導(dǎo)人金正恩的喜劇。

該組織旗下機構(gòu) BlueNorOff 的一次知名攻擊是 2016 年的孟加拉國銀行攻擊案，他們試圖利用 SWIFT 網(wǎng)絡(luò)從屬于孟加拉國中央銀行的紐約聯(lián)邦儲備銀行賬戶非法轉(zhuǎn)移近 10 億美元。在完成了幾筆交易（2000 萬美元追蹤到斯里蘭卡，8100 萬美元追蹤到菲律賓）后，紐約聯(lián)邦儲備銀行以拼寫錯誤引起的懷疑為由阻止了其余交易。

自 2017 年以來，該組織開始對加密行業(yè)進行攻擊，并獲利至少 10 多億美元。

二、技戰(zhàn)法分析

2.1常用攻擊手法分析

Lazarus早期多利用僵尸網(wǎng)絡(luò)對目標(biāo)進行DDos攻擊；目前主要攻擊手段轉(zhuǎn)為魚叉攻擊、水坑攻擊、供應(yīng)鏈攻擊等手法，還針對不同人員采取定向社會工程學(xué)攻擊。

戰(zhàn)術(shù)特征：

（1）使用郵件魚叉攻擊和水坑攻擊

（2）攻擊過程會利用系統(tǒng)破壞或勒索應(yīng)用干擾事件的分析

（3）利用SMB協(xié)議漏洞或相關(guān)蠕蟲工具實現(xiàn)橫向移動和載荷投放

（4）攻擊銀行SWIFT系統(tǒng)實現(xiàn)資金盜取

技術(shù)特征：

（1）使用多種加密算法，包括RC4，AES， Spritz等標(biāo)準(zhǔn)算法，也使用XOR及自定義字符變換算法

（2）主要使用虛假構(gòu)造的TLS協(xié)議，通過在SNI record中寫入白域名來Bypass IDS。也使用IRC、HTTP協(xié)議

（3）通過破壞MBR、分區(qū)表或者向扇區(qū)寫入垃圾數(shù)據(jù)從而破壞系統(tǒng)

（4）使用自刪除腳本

攻擊手段：

（1）魚叉攻擊：魚叉攻擊是計算機病毒術(shù)語，是黑客攻擊方式之一。將木馬程序作為電子郵件的附件，并起上一個極具誘惑力的名稱，發(fā)送給目標(biāo)電腦，誘使受害者打開附件，從而感染木馬。Lazarus通常以郵件夾帶惡意文檔作為誘餌，常見文件格式為DOCX，后期增加了BMP格式。入侵方式主要利用惡意宏與Office常見漏洞、0day漏洞、植入RAT的手法。

（2）水坑攻擊：顧名思義，是在受害者必經(jīng)之路設(shè)置了一個“水坑(陷阱)”，最常見的做法是，黑客分析攻擊目標(biāo)的上網(wǎng)活動規(guī)律，尋找攻擊目標(biāo)經(jīng)常訪問的網(wǎng)站的弱點，先將此網(wǎng)站“攻破”并植入攻擊代碼，一旦攻擊目標(biāo)訪問該網(wǎng)站就會“中招”。Lazarus通常針對貧窮的或欠發(fā)達地區(qū)的小規(guī)模銀行金融機構(gòu)使用水坑攻擊，這樣就可以在短時間內(nèi)大范圍盜取資金。2017年，Lazarus對波蘭金融監(jiān)管機構(gòu)發(fā)動水坑攻擊，在網(wǎng)站官方網(wǎng)站植入惡意的JavaScript漏洞，導(dǎo)致波蘭多家銀行被植入惡意程式。此次攻擊感染了 31 個國家的 104 個組織，大多數(shù)目標(biāo)是位于波蘭、智利、美國、墨西哥和巴西的金融機構(gòu)。

（3）社工攻擊：社會工程攻擊，是一種利用"社會工程學(xué)" 來實施的網(wǎng)絡(luò)攻擊行為。在計算機科學(xué)中，社會工程學(xué)指的是通過與他人的合法地交流，來使其心理受到影響，做出某些動作或者是透露一些機密信息的方式。這通常被認為是一種欺詐他人以收集信息、行騙和入侵計算機系統(tǒng)的行為。Lazarus擅長將社工技術(shù)運用到攻擊周期中，無論是投遞的誘餌還是身份偽裝，都令受害者無法甄別，從而掉入它的陷阱中。2020年期間，Lazarus在領(lǐng)英網(wǎng)站偽裝招聘加密貨幣工作人員并發(fā)送惡意文檔，旨在獲取憑證從而盜取目標(biāo)加密貨幣。2021年，Lazarus以網(wǎng)絡(luò)安全人員身份潛伏在Twitter中，伺機發(fā)送嵌有惡意代碼的工程文件攻擊同行人員。

武器庫：

Lazarus使用的網(wǎng)絡(luò)武器中包含大量定制工具，并且使用代碼有很多相似之處?？隙ǖ卣f，這些軟件來自相同的開發(fā)人員，可以說明Lazarus背后有具有一定規(guī)模的開發(fā)團隊。Lazarus擁有的攻擊能力和工具包括DDoS botnets、 keyloggers、 RATs、wiper malware，使用的惡意代碼包括Destover、Duuzer和 Hangman等。

2.2典型攻擊事件分析

下面以一起典型的Lazarus針對加密行業(yè)的魚叉攻擊為例進行分析。Lazarus通過郵件附件或鏈接的方式，誘導(dǎo)目標(biāo)工作人員下載惡意壓縮包，并執(zhí)行壓縮包中的惡意文件。

郵件末尾的“CoinbaseJobDescription”即為惡意鏈接并誘導(dǎo)用戶點擊，一旦點擊用戶就會下載惡意壓縮包，并執(zhí)行壓縮包中的惡意文件。壓縮包分為三種情況：

（1）釋放加密的誘餌文件和一個帶有惡意命令的LNK文件，由LNK文件下載后續(xù)載荷，后續(xù)載荷釋放文件密鑰和惡意腳本；

（2）釋放LNK文件，LNK文件下載后續(xù)載荷，后續(xù)載荷釋放誘餌文件和惡意腳本；

（3）釋放帶宏的OFFICE文件，由惡意宏下載后續(xù)載荷并執(zhí)行。

以樣本b94a13586828f8f3474f7b89755f5e7615ff946efd510a4cca350e6e1b4af440為例進行分析。該樣本文件名為Ledger_Nano_S&X_Security_Patch_Manual.zip，是一個zip壓縮包，文件名中的LedgerNano是一款硬件錢包，用于保護加密資產(chǎn)，S和X是其型號。

該樣本偽裝成LedgerNano的安全補丁手冊，解壓后會釋放一個偽裝成pdf文件的快捷方式文件：

用戶雙擊該快捷方式后，會執(zhí)行命令：

該命令中，使用cmd靜默執(zhí)行expand程序，將msiexec.exe復(fù)制到%appdata%\pat.exe路徑下，然后使用pcalua.exe打開pat.exe，從遠程服務(wù)器上下載msi文件并執(zhí)行。這個過程中使用了多種逃避木馬檢測的技術(shù)：

（1）expand.exe是系統(tǒng)用于解壓壓縮包的程序，但可以被用來進行文件復(fù)制，代替敏感的copy命令；

（2）復(fù)制并重命名msiexec.exe，以逃避對msiexec.exe的執(zhí)行檢測；

（3）pcalua.exe是windows程序兼容性助手，是系統(tǒng)的白名單程序，攻擊者使用該程序調(diào)用重命名為pat.exe的msiexec.exe，訪問遠程服務(wù)器上的惡意msi文件，從而逃避檢測。

獲取到的MSI文件運行后，會執(zhí)行內(nèi)嵌的腳本：

該腳本為Lazarus典型的一階段腳本，其功能包括：

（1）下載并打開正常的PDF文件從而迷惑受害者；

（2）向啟動目錄釋放Edge.lnk文件，完成自啟動；lnk文件執(zhí)行的命令與樣本解壓后的lnk文件基本相同，也是使用pcalua.exe調(diào)用重命名后的msiexec.exe加載遠程服務(wù)器上的msi文件；該文件的名稱和圖標(biāo)都偽裝為Edge瀏覽器，使受害者降低警惕；

（3）調(diào)用WMI命令獲取進程名稱列表并進行拼接，然后檢查如下進程名稱：

“kwsprot”：金山毒霸相關(guān)進程

“npprot”：Net ProtectorAntiVirus相關(guān)進程

“fshoster”：F-Secure相關(guān)進程

（4）如果拼接后的進程名稱中存在上述字符串之一，則會使用cscript.exe執(zhí)行后續(xù)腳本，否則使npprot用wscript.exe；

（5）將選定的腳本執(zhí)行程序復(fù)制到%public%目錄下；并且如果進程名稱中存在kwsprot或npprot，會將用于執(zhí)行腳本的程序重命名為icb.exe，以逃避檢測；

（6）解碼base64編碼的后續(xù)腳本，釋放到臨時文件夾下，命名為RgdASRgrsF.js

（7）使用復(fù)制到%public%目錄下的腳本執(zhí)行程序，執(zhí)行RgdASRgrsF.js

RgdASRgrsF.js是Lazarus典型的二階段腳本，其功能非常簡單，生成隨機的UID后與服務(wù)器通訊，然后循環(huán)接受服務(wù)器的命令并執(zhí)行；所執(zhí)行的命令通常一些收集系統(tǒng)信息的命令：

至此攻擊已經(jīng)完成，黑客可以在用戶電腦上獲得他所需的文件或密碼等敏感信息。通過對Lazarus的攻擊案例分析可以發(fā)現(xiàn)，目前其攻擊的目標(biāo)行業(yè)包括金融、核工業(yè)、化工、醫(yī)療、航空航天、娛樂媒體和加密貨幣等，從2017年開始加密貨幣行業(yè)的比重明顯增大。

三、洗錢模式分析

目前已明確統(tǒng)計到的Lazarus攻擊加密領(lǐng)域的安全事件和損失如下：

超過30億美元的資金在網(wǎng)絡(luò)攻擊中被Lazarus盜取，據(jù)悉，Lazarus 黑客組織背后有著朝鮮戰(zhàn)略利益的支撐，為朝鮮的核彈、彈道導(dǎo)彈計劃提供資金。為此，美國宣布懸賞500萬美元，對Lazarus黑客組織進行制裁。美國財政部也已將相關(guān)地址添加到OFAC特別指定國民（SDN）名單中，禁止美國個人、實體和相關(guān)地址進行交易，以確保國家資助的集團無法兌現(xiàn)這些資金，以此進行制裁。以太坊開發(fā)商Virgil Griffith因幫助朝鮮使用虛擬貨幣逃避制裁而被判處五年零三個月的監(jiān)禁,今年 OFAC 也制裁了三名與 Lazarus Group 相關(guān)人員，其中兩名被制裁者 Cheng Hung Man 和 Wu Huihui 是為 Lazarus 提供加密貨幣交易便利的場外交易 (OTC) 交易員，而第三人 Sim Hyon Sop 提供了其他財務(wù)支持。

盡管如此，Lazarus已完成了超10億美元的資產(chǎn)轉(zhuǎn)移和清洗，他們的洗錢模式分析如下。以Atomic Wallet事件為例，去除黑客設(shè)置的技術(shù)干擾因素后（大量的假代幣轉(zhuǎn)賬交易+多地址分賬），可以得到黑客的資金轉(zhuǎn)移模式：

圖：Atomic Wallet 受害者1資金轉(zhuǎn)移視圖

受害者1地址0xb02d...c6072向黑客地址0x3916...6340轉(zhuǎn)移304.36 ETH，通過中間地址0x0159...7b70進行8次分賬后，歸集至地址0x69ca...5324。此后將歸集資金轉(zhuǎn)移至地址0x514c...58f67，目前資金仍在該地址中，地址ETH余額為692.74 ETH（價值127萬美元）。

圖：Atomic Wallet 受害者2資金轉(zhuǎn)移視圖

受害者2地址0x0b45...d662向黑客地址0xf0f7...79b3轉(zhuǎn)移126.6萬USDT，黑客將其分成三筆，其中兩筆轉(zhuǎn)移至Uniswap，轉(zhuǎn)賬總額為126.6萬USDT；另一筆向地址0x49ce...80fb進行轉(zhuǎn)移，轉(zhuǎn)移金額為672.71ETH。受害者2向黑客地址0x0d5a...08c2轉(zhuǎn)移2.2萬USDT，該黑客通過中間地址0xec13...02d6等進行多次分賬，直接或間接將資金歸集至地址0x3c2e...94a8。

這種洗錢模式與之前的Ronin Network、Harmony攻擊事件中的洗錢模式高度一致，均包含三個步驟：

（1）被盜資金整理兌換：發(fā)起攻擊后整理原始被盜代幣，通過dex等方式將多種代幣swap成ETH。這是規(guī)避資金凍結(jié)的常用方式。

（2）被盜資金歸集：將整理好的ETH歸集到數(shù)個一次性錢包地址中。Ronin事件中黑客一共用了9個這樣的地址，Harmony使用了14個，Atomic Wallet事件使用了近30個地址。

（3）被盜資金轉(zhuǎn)出：使用歸集地址通過Tornado.Cash將錢洗出。這便完成了全部的資金轉(zhuǎn)移過程。

除了具備相同的洗錢步驟，在洗錢的細節(jié)上也有高度的一致性：

（1）攻擊者非常有耐心，均使用了長達一周的時間進行洗錢操作，均在事件發(fā)生幾天后開始后續(xù)洗錢動作。

（2）洗錢流程中均采用了自動化交易，大部分資金歸集的動作交易筆數(shù)多，時間間隔小，模式統(tǒng)一。

通過分析，我們認為Lazarus的洗錢模式通常如下：

（1）多賬號分賬、小額多筆轉(zhuǎn)移資產(chǎn)，提高追蹤難度。

（2）開始制造大量假幣交易，提高追蹤難度。以Atomic Wallet事件為例，27個中間地址中有23個賬戶均為假幣轉(zhuǎn)移地址，近期在對Stake.com的事件分析中也發(fā)現(xiàn)采用類似技術(shù)，但之前的Ronin Network、Harmony事件并沒有這種干擾技術(shù)，說明Lazarus的洗錢技術(shù)也在升級。

（3）更多的采用鏈上方式（如Tonado Cash）進行混幣，早期的事件中Lazarus經(jīng)常使用中心化交易所獲得啟動資金或進行后續(xù)的OTC，但近期越來越少的使用中心化交易所，甚至可以認為是盡量在避免使用中心化交易所，這與近期的幾起制裁事件應(yīng)該有關(guān)。

About Us

SharkTeam的愿景是保護Web3世界的安全。團隊由來自世界各地的經(jīng)驗豐富的安全專業(yè)人士和高級研究人員組成，精通區(qū)塊鏈和智能合約底層理論。提供包括鏈上大數(shù)據(jù)分析、鏈上風(fēng)險預(yù)警、智能合約審計、加密資產(chǎn)追討等服務(wù)，并打造了鏈上大數(shù)據(jù)分析和風(fēng)險預(yù)警平臺ChainAegis，平臺支持無限層級的深度圖分析，能有效對抗Web3世界的高級持續(xù)性攻擊(Advanced Persistent Threat，APT)風(fēng)險。