
Phân tích về tin tặc Triều Tiên, các nhóm lừa đảo và công cụ rửa tiền trong báo cáo
Tuyển chọn TechFlowTuyển chọn TechFlow

Phân tích về tin tặc Triều Tiên, các nhóm lừa đảo và công cụ rửa tiền trong báo cáo
Bài viết này giới thiệu về hoạt động của nhóm hacker Triều Tiên Lazarus Group trong năm 2023, tổng hợp và phân tích các động thái cùng phương thức rửa tiền của nhóm, xây dựng chân dung nhóm tội phạm, cuối cùng giới thiệu các công cụ rửa tiền thường được hacker sử dụng.
Tác giả: Đội an ninh SlowMist
Bài viết trước chúng tôi đã phân tích tổng quan về tình hình an ninh blockchain năm 2023, bài viết này sẽ tập trung vào động thái của nhóm tin tặc Triều Tiên Lazarus Group, các băng nhóm lừa đảo chính và một số công cụ rửa tiền trong năm 2023.
Lazarus Group
Động thái năm 2023
Theo thông tin công khai năm 2023, tính đến tháng 6, vẫn chưa có vụ đánh cắp tiền mã hóa lớn nào được xác định là do tin tặc Triều Tiên Lazarus Group thực hiện. Nhìn từ hoạt động trên chuỗi, nhóm tin tặc Triều Tiên Lazarus Group chủ yếu đang tập trung rửa số tiền mã hóa bị đánh cắp trong năm 2022, bao gồm khoảng 100 triệu USD bị mất trong vụ tấn công cầu nối chéo Harmony ngày 23 tháng 6 năm 2022.
Tuy nhiên, sự thật sau đó cho thấy ngoài việc rửa tiền bị đánh cắp trong năm 2022, nhóm tin tặc này không hề nghỉ ngơi mà vẫn đang ẩn nấp trong bóng tối, âm thầm tiến hành các hoạt động tấn công APT. Những hoạt động này trực tiếp dẫn đến "101 ngày đen tối" của ngành tiền mã hóa bắt đầu từ ngày 3 tháng 6.
Trong suốt "101 ngày đen tối", tổng cộng 5 nền tảng đã bị đánh cắp, với tổng số tiền bị lấy đi vượt quá 300 triệu USD, trong đó phần lớn nạn nhân là các nền tảng dịch vụ tập trung.

Khoảng ngày 12 tháng 9, SlowMist phối hợp cùng đối tác phát hiện ra nhóm tin tặc Lazarus Group đang tiến hành chiến dịch tấn công APT quy mô lớn nhằm vào ngành tiền mã hóa. Thủ đoạn tấn công như sau: Trước tiên giả danh danh tính, sử dụng giấy tờ thật để lừa qua nhân viên kiểm duyệt và trở thành khách hàng thật, sau đó gửi tiền thật vào tài khoản. Dưới lớp vỏ bọc khách hàng này, tại nhiều thời điểm giao tiếp giữa nhân viên chính thức và khách hàng (kẻ tấn công), họ đã nhắm mục tiêu chính xác để phát tán phần mềm độc hại tùy chỉnh cho Mac hoặc Windows, chiếm quyền điều khiển rồi di chuyển ngang trong mạng nội bộ, ẩn náu lâu dài nhằm đạt được mục đích đánh cắp tài sản.

Cục Điều tra Liên bang Mỹ (FBI) cũng theo dõi sát sao các vụ trộm cắp lớn trong hệ sinh thái tiền mã hóa, đồng thời công bố trong thông cáo báo chí rằng những sự kiện này do nhóm tin tặc Triều Tiên Lazarus Group đứng sau. Dưới đây là các thông cáo liên quan đến nhóm tin tặc Triều Tiên Lazarus Group do FBI phát hành trong năm 2023:
-
Ngày 23 tháng 1, FBI xác nhận (https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft) rằng nhóm tin tặc Lazarus của Triều Tiên phải chịu trách nhiệm cho sự kiện tấn công Harmony Hack.
-
Ngày 22 tháng 8, Cục Điều tra Liên bang Hoa Kỳ (FBI) đã phát hành thông báo (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) cho biết tổ chức tin tặc Triều Tiên liên quan đến các cuộc tấn công vào Atomic Wallet, Alphapo và CoinsPaid, đánh cắp tổng cộng 197 triệu USD tiền mã hóa.
-
Ngày 6 tháng 9, Cục Điều tra Liên bang Hoa Kỳ (FBI) đã phát hành thông cáo báo chí (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk), xác nhận nhóm tin tặc Triều Tiên Lazarus Group phải chịu trách nhiệm cho vụ đánh cắp 41 triệu USD trên nền tảng cá cược tiền mã hóa Stake.com.
Phân tích phương thức rửa tiền
Theo phân tích của chúng tôi, phương thức rửa tiền của nhóm tin tặc Lazarus Triều Tiên cũng liên tục tiến hóa theo thời gian, cứ một thời gian lại xuất hiện cách thức mới. Bảng dưới đây thể hiện mốc thời gian thay đổi phương thức rửa tiền:

Phân tích chân dung nhóm tội phạm
Dựa trên sự hỗ trợ mạnh mẽ về dữ liệu tình báo từ mạng lưới đối tác InMist, đội AML của SlowMist đã theo dõi và phân tích các dữ liệu liên quan đến các sự kiện bị đánh cắp và nhóm tin tặc Lazarus, từ đó đưa ra một phần chân dung của nhóm tin tặc Lazarus:
-
Thường xuyên sử dụng danh tính người châu Âu, người Thổ Nhĩ Kỳ để ngụy trang.
-
Đã thu thập được hàng chục địa chỉ IP, hơn chục địa chỉ email và một phần thông tin danh tính đã được làm mờ:
-
111.*.*.49
-
103.*.*.162
-
103.*.*.205
-
210.*.*.9
-
103.*.*.29
-
103.*.*.163
-
154.*.*.10
-
185.*.*.217
Wallet Drainers
Ghi chú: Mục nhỏ này do Scam Sniffer soạn thảo, xin chân thành cảm ơn.
Tổng quan
Wallet Drainers là một loại phần mềm độc hại liên quan đến tiền mã hóa, trong năm qua đã đạt được "thành công" đáng kể. Các phần mềm này được triển khai trên các trang web lừa đảo, dụ người dùng ký vào giao dịch độc hại, từ đó đánh cắp tài sản trong ví tiền mã hóa của họ. Những hoạt động lừa đảo này liên tục tấn công người dùng bình thường dưới nhiều hình thức khác nhau, khiến nhiều người vô tình ký vào giao dịch độc hại và chịu tổn thất tài sản nghiêm trọng.
Thống kê tài sản bị đánh cắp

Trong năm qua, Scam Sniffer ghi nhận Wallet Drainers đã đánh cắp gần 295 triệu USD tài sản từ khoảng 320.000 nạn nhân.
Xu hướng bị đánh cắp

Đáng chú ý, vào ngày 11 tháng 3, gần 7 triệu USD đã bị đánh cắp. Phần lớn nguyên nhân là do biến động tỷ giá USDC, khiến nạn nhân truy cập vào trang web lừa đảo giả mạo Circle. Cũng có lượng lớn vụ đánh cắp xảy ra gần ngày 24 tháng 3 khi Discord của Arbitrum bị hack và sau đó là đợt airdrop.
Mỗi đỉnh sóng đều gắn liền với các sự kiện tập thể liên quan. Có thể là airdrop, cũng có thể là sự kiện hacker.
Các Wallet Drainers đáng chú ý

Sau khi ZachXBT vạch mặt Monkey Drainer, nhóm này sau 6 tháng hoạt động đã tuyên bố rút lui, sau đó Venom kế thừa phần lớn khách hàng của họ. Tiếp đó, MS, Inferno, Angel, Pink cũng lần lượt xuất hiện vào khoảng tháng 3. Khi Venom ngừng hoạt động vào khoảng tháng 4, phần lớn các nhóm lừa đảo chuyển sang sử dụng các dịch vụ khác. Với mức phí Drainer 20%, họ đã thu lợi ít nhất 47 triệu USD từ việc bán dịch vụ.
Xu hướng Wallet Drainers

Thông qua phân tích xu hướng có thể thấy, các hoạt động lừa đảo về cơ bản luôn tăng trưởng liên tục. Và mỗi khi một Drainer rút lui, sẽ có Drainer mới thay thế, ví dụ gần đây sau khi Inferno tuyên bố rút lui, Angel dường như đã trở thành lựa chọn thay thế mới.
Họ phát động hoạt động lừa đảo như thế nào?

Các trang web lừa đảo thu hút lưu lượng truy cập chủ yếu qua các hình thức sau:
-
Tấn công hack
-
Discord và Twitter của dự án chính thức bị hack
-
Frontend hoặc thư viện sử dụng bởi dự án chính thức bị tấn công
-
Lưu lượng tự nhiên
-
Airdrop NFT hoặc Token
-
Liên kết Discord hết hạn bị chiếm dụng
-
Thông báo rác và bình luận trên Twitter
-
Lưu lượng trả phí
-
Quảng cáo tìm kiếm Google
-
Quảng cáo Twitter
Mặc dù tấn công hack có phạm vi ảnh hưởng rộng, nhưng thường phản ứng kịp thời, toàn bộ cộng đồng thường hành động trong vòng 10-50 phút. Trong khi đó, các phương pháp như airdrop, lưu lượng tự nhiên, quảng cáo trả phí và liên kết Discord hết hạn bị chiếm dụng thì khó bị phát hiện hơn. Ngoài ra còn có các hình thức lừa đảo riêng tư nhắm mục tiêu cá nhân như nhắn tin trực tiếp.
Các chữ ký lừa đảo phổ biến

Đối với các loại tài sản khác nhau cũng có các cách khác nhau để phát động chữ ký lừa đảo độc hại, trên đây là một số phương thức chữ ký lừa đảo phổ biến đối với các loại tài sản khác nhau. Các Drainer sẽ quyết định phát động chữ ký lừa đảo độc hại nào dựa trên loại tài sản có trong ví của nạn nhân.
Từ trường hợp lợi dụng chức năng signalTransfer của GMX để đánh cắp Reward LP token, chúng ta có thể thấy họ đã nghiên cứu rất kỹ lưỡng cách khai thác các tài sản cụ thể.
Sử dụng thêm nhiều hợp đồng thông minh
1) Multicall

Từ Inferno trở đi, họ bắt đầu đầu tư nhiều nguồn lực hơn vào việc sử dụng công nghệ hợp đồng. Ví dụ, phí Split cần hai giao dịch riêng biệt, điều này có thể khiến nạn nhân hủy bỏ ủy quyền trước khi thực hiện giao dịch thứ hai nếu tốc độ không đủ nhanh. Vì vậy, để nâng cao hiệu quả, họ sử dụng multicall để chuyển tài sản hiệu quả hơn.
2) CREATE2 & CREATE

Tương tự, để tránh các xác minh bảo mật của một số ví, họ cũng bắt đầu thử nghiệm sử dụng create2 hoặc create để tạo địa chỉ tạm thời động. Điều này khiến danh sách đen ở phía ví mất tác dụng, đồng thời làm tăng độ khó nghiên cứu lừa đảo. Bởi vì bạn không ký thì không biết tài sản sẽ bị chuyển đến địa chỉ nào, trong khi địa chỉ tạm thời thì không có ý nghĩa phân tích. Đây là một thay đổi lớn so với năm ngoái.
Các trang web lừa đảo

Thông qua phân tích xu hướng số lượng trang web lừa đảo, có thể thấy rõ ràng hoạt động lừa đảo tăng dần từng tháng, điều này có mối quan hệ lớn với dịch vụ wallet drainer ổn định.

Trên đây là các nhà đăng ký tên miền chính mà các trang web lừa đảo này sử dụng. Qua phân tích địa chỉ máy chủ có thể thấy, họ phần lớn sử dụng Cloudflare để che giấu địa chỉ máy chủ thật.
Công cụ rửa tiền
Sinbad
Sinbad là một máy trộn Bitcoin được thành lập vào ngày 5 tháng 10 năm 2022, nó làm mờ chi tiết giao dịch nhằm che giấu dòng chảy tiền trên chuỗi.
Bộ Tài chính Hoa Kỳ mô tả Sinbad là "bộ trộn tiền ảo, là công cụ rửa tiền chính của nhóm tin tặc Triều Tiên Lazarus đã được OFAC chỉ định". Sinbad đã xử lý các khoản tiền từ các vụ tấn công vào Horizon Bridge và Axie Infinity, đồng thời cũng chuyển các khoản tiền liên quan đến "trốn tránh trừng phạt, buôn bán ma túy, mua vật liệu lạm dụng tình dục trẻ em và các hoạt động bán trái phép khác trên thị trường dark web".

Hacker Alphapo (Lazarus Group) từng sử dụng Sinbad trong quá trình rửa tiền, ví dụ như giao dịch:

(https://oxt.me/transaction/2929e9d0055a431e1879b996d0d6f70aa607bb123d12bfad42e1f507d1d200a5)
Tornado Cash

(https://dune.com/misttrack/mixer-2023)
Tornado Cash là một giao thức phi tập trung hoàn toàn, không lưu ký, tăng cường quyền riêng tư giao dịch bằng cách phá vỡ liên kết trên chuỗi giữa địa chỉ nguồn và địa chỉ đích. Để bảo vệ quyền riêng tư, Tornado Cash sử dụng một hợp đồng thông minh, chấp nhận tiền gửi ETH và các token khác từ một địa chỉ, và cho phép rút tiền đến một địa chỉ khác, tức là gửi ETH và các token khác đến bất kỳ địa chỉ nào dưới dạng ẩn danh người gửi.
Năm 2023, người dùng đã gửi tổng cộng 342.042 ETH (khoảng 614 triệu USD) vào Tornado Cash, và rút tổng cộng 314.740 ETH (khoảng 567 triệu USD) từ Tornado Cash.
eXch

(https://dune.com/misttrack/mixer-2023)
Năm 2023, người dùng đã gửi tổng cộng 47.235 ETH (khoảng 90,14 triệu USD) vào eXch, và gửi tổng cộng 25.508.148 stablecoin ERC20 (khoảng 25,5 triệu USD) vào eXch.
Railgun
Railgun sử dụng công nghệ mật mã zk-SNARKs để làm cho các giao dịch hoàn toàn vô hình. Railgun "che chắn" (shielding) token của người dùng trong hệ thống bảo mật riêng tư của mình, khiến mọi giao dịch trên blockchain đều hiển thị là được gửi từ địa chỉ hợp đồng Railgun.
Đầu năm 2023, Cục Điều tra Liên bang Hoa Kỳ cho biết nhóm tin tặc Triều Tiên Lazarus đã sử dụng Railgun để rửa hơn 60 triệu USD tiền bị đánh cắp từ cầu nối Horizon của Harmony.
Tổng kết
Bài viết này giới thiệu động thái của nhóm tin tặc Triều Tiên Lazarus Group trong năm 2023. Đội an ninh SlowMist tiếp tục theo dõi sát sao nhóm tin tặc này, tổng hợp và phân tích động thái cũng như phương thức rửa tiền của họ, đồng thời xây dựng chân dung nhóm tội phạm. Năm 2023, các nhóm lừa đảo hoành hành, gây thiệt hại tài chính khổng lồ cho ngành blockchain, và hành động của các nhóm này mang đặc điểm "tiếp sức", các cuộc tấn công liên tục và quy mô lớn khiến an ninh ngành đối mặt thách thức lớn. Xin chân thành cảm ơn nền tảng chống gian lận Web3 Scam Sniffer đã đóng góp phần tiết lộ về các nhóm lừa đảo Wallet Drainers, chúng tôi tin rằng nội dung này có ý nghĩa tham khảo quan trọng trong việc hiểu cách thức hoạt động và thu lợi của họ. Cuối cùng, chúng tôi cũng giới thiệu các công cụ rửa tiền thường dùng bởi tin tặc.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News












