朝鮮黑客組織Lazarus Group洗錢手法分析

近期一份聯合國機密報告引起了廣泛關注。報告顯示，黑客團夥Lazarus Group在去年從一家加密貨幣交易所竊取資金後，於今年3月通過某虛擬貨幣平台洗錢1.475億美元。

聯合國安理會制裁委員會的監察員正在調查2017年至2024年間發生的97起疑似朝鮮黑客針對加密貨幣公司的網路攻擊，涉及金額高達36億美元。其中包括去年年底某加密貨幣交易所遭受的1.475億美元盜竊案，這筆資金在今年3月完成了洗錢過程。

值得注意的是，某混幣平台於2022年遭到制裁，次年其兩名聯合創始人被指控協助洗錢超過10億美元，其中包括與Lazarus Group有關的資金。

根據加密貨幣分析師的調查，Lazarus Group在2020年8月至2023年10月期間將價值2億美元的加密貨幣轉換爲法定貨幣。

Lazarus Group長期以來被認爲是全球範圍內大規模網路攻擊和金融犯罪的幕後黑手。他們的攻擊目標涵蓋了銀行系統、加密貨幣交易所、政府機構和私人企業等多個領域。

Lazarus Group的攻擊手法

社會工程和網絡釣魚攻擊

Lazarus Group曾通過在社交媒體平台上發布虛假招聘廣告來誘騙目標公司員工。他們要求求職者下載含有惡意代碼的PDF文件，從而實施釣魚攻擊。這種方法被用於針對歐洲和中東的軍事和航空航天公司。

在一次持續六個月的行動中，Lazarus Group使用類似手法攻擊了某加密貨幣支付提供商，導致後者損失3700萬美元。攻擊者不僅向工程師發送虛假工作機會，還發起了分布式拒絕服務等技術攻擊，並嘗試暴力破解密碼。

多起加密貨幣交易所攻擊事件

2020年8月至10月期間，多家加密貨幣相關平台遭受攻擊：

• 8月24日，某加拿大加密貨幣交易所錢包被盜。
• 9月11日，某項目因私鑰泄露導致40萬美元資金被非法轉移。
• 10月6日，某平台熱錢包中75萬美元加密資產被盜。

這些被盜資金最終匯集到同一地址，並在2021年1月通過混幣平台進行洗錢。經過多次轉移和兌換，資金最終被發送到特定的提現地址。

針對個人的高額盜竊

2020年12月14日，某互助保險平台的創始人個人錢包遭到攻擊，損失37萬NXM代幣（約830萬美元）。黑客通過多個地址轉移和兌換被盜資金，部分資金甚至經歷了跨鏈操作。最終，大量資金被轉入特定的提現地址。

最新攻擊案例

2023年8月，兩個不同項目分別遭遇黑客攻擊，共計1524枚ETH被盜。這些被盜資金同樣經過混幣平台的洗錢過程，最終匯集到同一地址，並在之後被轉移到常用的提現地址。

洗錢模式總結

通過分析Lazarus Group的多起攻擊事件，可以總結出其主要洗錢手法：

1. 跨鏈轉移：將被盜資產在不同區塊鏈之間進行轉移，增加追蹤難度。
2. 使用混幣器：大量使用混幣平台來混淆資金來源。
3. 資金歸集：將洗白後的資金集中到特定地址。
4. 固定提現渠道：使用固定的幾個地址進行最終的提現操作。
5. OTC交易：通過場外交易將加密資產兌換爲法幣。

Lazarus Group的持續性攻擊對Web3行業構成了嚴重威脅。相關機構正在密切關注該黑客團夥的動向，以期能夠有效打擊此類犯罪行爲，並幫助受害者追回被盜資產。