Een volledige analyse van de Lazarus- en Drainer-bendes

Hasj ( SHA1 ) van dit artikel: 9 d 28 ef 4 e 6 e 45 c 21121 d 4 e 6 fc 0 ef 7 c 011 f 4826 3d 8

Nee.: PandaLY Beveiligingskennis nr. 025

Als de belangrijkste drijvende kracht van de digitale economie, drijft blockchaintechnologie een revolutie aan op het gebied van wereldwijde financiën en gegevensbeveiliging. De decentralisatie en anonimiteit ervan hebben echter ook de aandacht getrokken van cybercriminelen, wat heeft geleid tot een reeks aanvallen gericht op crypto-activa. Hackers slapen nooit en de plaatsen waar fondsen worden verzameld, zijn altijd het doelwit van hackers. Volgens gegevens van verschillende blockchainanalyse- en beveiligingsbedrijven, hebben de verliezen veroorzaakt door Web3-gerelateerde hackeraanvallen van 2020 tot 2024 de 30 miljard overschreden. Ons ChainSource-beveiligingsteam zal verschillende bekende blockchainhackergroepen en hun bekende gevallen grondig analyseren, hun methoden voor het plegen van misdaden onthullen en praktische strategieën bieden voor individuen om hackeraanvallen te voorkomen.

Bekende hackerbendes en diefstalgevallen

Noord-Koreaanse hackers Lazarus Group

achtergrond:

Volgens Wikipedia werd Lazarus Group opgericht in 2007 en is aangesloten bij het 110e onderzoekscentrum onder het Reconnaissance General Bureau van de General Staff van het Noord-Koreaanse Volksleger, gespecialiseerd in cyberoorlogvoering. De organisatie is verdeeld in twee afdelingen: de eerste afdeling heet BlueNorOff (ook bekend als APT 38), met ongeveer 1.700 leden, voert voornamelijk illegale overdrachten uit door SWIFT-orders te vervalsen. Het richt zich op het uitbuiten van netwerkkwetsbaarheden om economische voordelen te verkrijgen of controlesystemen om financiële cybercriminaliteit te plegen, voornamelijk gericht op financiële instellingen en cryptocurrency-beurzen. De tweede eenheid is AndAriel, met ongeveer 1.600 leden en voornamelijk gericht op aanvallen in Zuid-Korea.

Werkwijze:

In de begindagen voerde Lazarus voornamelijk DDoS-aanvallen uit via botnets, maar nu zijn hun aanvalsmethoden verschoven naar spearphishing-aanvallen, watering hole-aanvallen, supply chain-aanvallen, enz., en voeren ze gerichte social engineering-aanvallen uit op verschillende doelen. Ze kunnen systeemvernietiging of ransomware gebruiken om de analyse van het incident te verstoren. Daarnaast kunnen ze kwetsbaarheden in het SMB-protocol of gerelateerde wormtools gebruiken om horizontaal te bewegen en payloads te droppen, en zelfs het SWIFT-systeem van de bank aanvallen om De technische kenmerken omvatten het gebruik van meerdere encryptie-algoritmen (zoals RC 4, AES, Spritz) en aangepaste karaktertransformatie-algoritmen, het verhullen van het TLS-protocol om IDS te omzeilen via witte domeinnamen in SNI-records, en het gebruik van IRC- en HTTP-protocol.

Bovendien beschadigt Lazarus het systeem door de MBR, partitietabel of het schrijven van onzingegevens naar sectoren te vernietigen en gebruikt het zelfverwijderingsscripts om de sporen van de aanval te verbergen. De aanvalsmethoden omvatten spearphishingaanvallen door Trojaanse programma’s als e-mailbijlagen te verzenden. Bij watering hole-aanvallen analyseert Lazarus de onlineactiviteiten van het doelwit, valt het de websites aan die het vaak bezoekt en implanteert het schadelijke code om op grote schaal geld te stelen; bij social engineering-aanvallen doen ze alsof ze cryptocurrency-werkers of professionals in netwerkbeveiliging rekruteren. Het arsenaal van Lazarus omvat een groot aantal aangepaste tools, wat aangeeft dat er een groot ontwikkelingsteam achter zit. De aanvalsmogelijkheden en -tools omvatten DDoS-botnets, keyloggers, RAT’s en wiper-malware. De gebruikte schadelijke code is onder andere: Destover, Duuzer en Hangman.

Voorbeelden:

De Lazarus-hackersgroep stal $ 81 miljoen door het SWIFT-systeem aan te vallen. Hoewel dit incident voornamelijk het traditionele banksysteem betreft, heeft de impact ervan ook gevolgen voor het blockchain-veld, omdat de fondsen die hackers op deze manier verkrijgen, vaak worden gebruikt om cryptovaluta te kopen. Witwassen van valuta.

In september 2020 werd de KuCoin-beurs getroffen door een enorme hackeraanval, wat resulteerde in verliezen tot $ 200 miljoen. Hoewel de directe verantwoordelijkheid niet volledig is bevestigd, geloven analisten dat het verband houdt met Lazarus. Hackers misbruikten contractmazen en systeemzwakheden om een ​​grote hoeveelheid cryptocurrency te stelen. En probeerden geld over te maken en wit te wassen via meerdere kanalen.

Ronin, het blockchainnetwerk voor de Axie Infinity-game, werd in maart 2021 gehackt, wat resulteerde in verliezen van meer dan $ 600 miljoen. De hackers voerden de aanval uit door de nodes en systeemkwetsbaarheden van de ontwikkelaar aan te vallen. Hoewel de directe verantwoordelijkheid nog niet is bevestigd, linken veel analisten het aan Lazarus of andere door de staat gesponsorde hackinggroepen.

De cross-chain bridge van de Harmony blockchain werd in juni 2022 aangevallen, wat resulteerde in een verlies van ongeveer $ 100 miljoen. De aanval onthulde de beveiligingskwetsbaarheden van de blockchain cross-chain bridge, en hoewel de identiteit van de aanvaller niet duidelijk was, schreven sommige experts het toe aan Gezien de strategie van Noord-Koreaanse hackersgroepen, wordt aangenomen dat zij deze aanval mogelijk met vergelijkbare methoden hebben uitgevoerd.

Afvoerbende

Een “drainer” in blockchain verwijst meestal naar een kwaadaardig smart contract of script waarvan het doel is om fondsen te stelen van de crypto wallet of account van een gebruiker via frauduleuze middelen. Dit type aanval vindt meestal plaats wanneer een gebruiker communiceert met een nep of gecompromitteerde gedecentraliseerde Wanneer gebruikers communiceren met een gedecentraliseerde applicatie (dApp) of website, kunnen gebruikers onbewust de controle over hun fondsen overdragen aan een kwaadaardig contract. Hieronder staan ​​enkele van de bekendere drainer criminele bendes:

achtergrond:

“Inferno Drainer” is een van de populairste crypto wallet scam tools. Het is een “Phishing-as-a-Service” (PaaS) platform dat scammers voorziet van kant-en-klare phishing. Via deze platformen kunnen aanvallers eenvoudig phishing websites maken die vermomd zijn als legitieme gedecentraliseerde applicaties (dApps) om crypto assets van gebruikers te stelen. Volgens Web3 beveiligingsbedrijf Blockaid is het aantal DApps in juli 2024 gestegen tot 40.000. Het aantal nieuwe kwaadaardige DApps dat de tool gebruikt is verdrievoudigd en het gebruik is met 300% toegenomen.

Werkwijze:

De bende promootte zijn diensten via Telegram-kanalen en opereerde in een “scam-as-a-service”-model, waarbij ontwikkelaars phishingwebsites aan oplichters aanboden om hen te helpen hun frauduleuze activiteiten uit te voeren. Wanneer het slachtoffer de QR-code op de phishingwebsite scant en verbinding maakt met hun Wanneer een slachtoffer een wallet steelt, controleert en lokaliseert Inferno Drainer automatisch de meest waardevolle en gemakkelijk overdraagbare activa in de wallet en start een kwaadaardige transactie. Zodra het slachtoffer de transactie bevestigt, worden de activa overgemaakt naar de rekening van de crimineel. % wordt verdeeld onder de ontwikkelaars van Inferno Drainer en de resterende 80% is eigendom van de oplichters.

Ze richten zich voornamelijk op gebruikers en platforms die gerelateerd zijn aan cryptovaluta, zoals decentrale financiële (DeFi) applicaties, NFT-markten, crypto wallets, etc. Ze gebruiken social engineering-tactieken, zoals nep-officiële aankondigingen of airdrop-activiteiten, om zichzelf te vermommen als legitieme applicaties. De opkomst van dergelijke tools heeft de drempel voor onlinefraude aanzienlijk verlaagd, wat heeft geleid tot een toename van gerelateerde fraudeactiviteiten.

Voorbeelden:

Hackers gebruikten het Inferno Drainer-platform om phishingaanvallen uit te voeren op OpenSea-gebruikers. OpenSea is een populaire NFT-marktplaats met veel cryptowallets van gebruikers die aan hun accounts zijn gekoppeld. De aanvaller creëerde een phishingpagina die zich voordeed als de OpenSea-website en stuurde berichten naar gebruikers via e-mail en sociale media. Advertenties trekken gebruikers aan om te bezoeken. Wanneer gebruikers hun wallets op deze pagina koppelen en transacties autoriseren, initieert Inferno Drainer automatisch kwaadaardige transacties, waarbij NFT’s en cryptocurrencies in de wallet van de gebruiker worden overgedragen naar adressen die door hackers worden beheerd. Door deze aanval verloren tientallen gebruikers hun kostbare NFT’s en grote hoeveelheden Ethereum, met een totaal verlies van miljoenen dollars.

Uniswap is een van de populairste gedecentraliseerde exchanges in de gedecentraliseerde financiële (DeFi) ruimte. Inferno Drainer werd gebruikt in phishingaanvallen vermomd als Uniswap. De aanvaller creëerde een nep-Uniswap-website en gebruikte Google-advertenties, sociale media. Nadat het slachtoffer het kwaadaardige contract op de website had geautoriseerd, zou Inferno Drainer snel hun account scannen en een transactie starten om tokens over te dragen om de activa van de gebruiker te stelen. Een groot aantal tokens en stablecoins ging verloren in de oplichting, met een totale waarde variërend van honderdduizenden tot miljoenen dollars.

De aanvalsmethoden die hackersbendes doorgaans gebruiken, zijn vergelijkbaar

Hackers doen zich voor als betrouwbare organisaties of individuen, en misleiden slachtoffers om op kwaadaardige links te klikken of privésleutels te onthullen, en zo hun crypto-activa te verkrijgen. Zo stal de Lazarus Group ooit met succes cryptotransacties door de identiteit van overheidsfunctionarissen te vervalsen en nauwkeurige phishingaanvallen uit te voeren. De enorme hoeveelheid fondsen.

Hackers infecteren de apparaten van slachtoffers met malware om hun cryptocurrency te stelen of om op afstand controle over de apparaten te krijgen. FIN 6 gebruikt vaak aangepaste malware die specifiek gericht is op financiële instellingen en cryptocurrencybeurzen.

Hackers kunnen illegaal geld overmaken of stelen door kwetsbaarheden in smart contracts te identificeren en te exploiteren. Omdat de code van smart contracts niet kan worden gewijzigd nadat ze op de blockchain zijn geïmplementeerd, kan de schade die door kwetsbaarheden wordt veroorzaakt extreem ernstig zijn.

Hackers kunnen double spend-aanvallen uitvoeren of transactiegegevens manipuleren door meer dan 50% van de rekenkracht in het blockchainnetwerk te controleren. Zulke aanvallen zijn met name gericht op kleine of opkomende blockchainnetwerken, omdat hun rekenkracht relatief geconcentreerd is en gemakkelijk kwaadaardig kan worden gemanipuleerd.

Voorzorgsmaatregelen voor individuele klanten

Wees altijd waakzaam en klik niet op onbekende links of download geen software van onbekende bronnen. Vooral als het gaat om handelingen met cryptovaluta, moet u voorzichtiger zijn om te voorkomen dat u in de valkuilen trapt.

Schakel tweefactorauthenticatie (2FA) in op al uw cryptocurrency-accounts om een ​​extra beveiligingslaag toe te voegen aan uw accounts en ongeautoriseerde aanmeldingen te voorkomen.

Bewaar de meeste van uw cryptovaluta in hardware wallets in plaats van online wallets of exchanges. Deze offline opslagmethode kan het risico op hacking op afstand effectief verminderen.

Probeer de contractcode te begrijpen voordat u met een slim contract aan de slag gaat. U kunt ook kiezen voor een contract dat door een professional is gecontroleerd. Zo voorkomt u dat u met ongeverifieerde slimme contracten te maken krijgt en verkleint u het risico dat er geld wordt gestolen.

Zorg ervoor dat alle apparaten en de bijbehorende software up-to-date zijn en voer regelmatig beveiligingsupdates uit om aanvallen vanwege oude kwetsbaarheden te voorkomen.

Conclusie

In het blockchainveld is beveiliging altijd een kritiek punt. Het begrijpen en identificeren van bekende hackergroepen, tools en hun methoden om misdaden te plegen, gecombineerd met effectieve persoonlijke preventiemaatregelen, kan het risico om een ​​doelwit van een aanval te worden aanzienlijk verkleinen. Met de voortdurende ontwikkeling worden hackermethoden ook geüpgraded. Het Lianyuan Security Team raadt gebruikers aan om hun beveiligingsbewustzijn voortdurend te verbeteren en te allen tijde waakzaam te blijven om onoverwinnelijk te blijven in dit snel veranderende digitale tijdperk.

Lianyuan Technology is een bedrijf dat zich richt op blockchainbeveiliging. Onze kernactiviteiten omvatten blockchainbeveiligingsonderzoek, on-chain data-analyse en het redden van kwetsbaarheden in activa en contracten. We hebben met succes veel gestolen digitale activa teruggevonden voor individuen en instellingen. Tegelijkertijd zetten we ons in om brancheorganisaties te voorzien van projectbeveiligingsanalyserapporten, on-chain traceerbaarheid en technische advies-/ondersteuningsdiensten.

Bedankt voor het lezen. We blijven ons richten op blockchain-beveiligingscontent en deze delen.