朝鲜黑客组织Lazarus Group洗钱手法分析

近期一份联合国机密报告引起了广泛关注。报告显示，黑客团伙Lazarus Group在去年从一家加密货币交易所窃取资金后，于今年3月通过某虚拟货币平台洗钱1.475亿美元。

联合国安理会制裁委员会的监察员正在调查2017年至2024年间发生的97起疑似朝鲜黑客针对加密货币公司的网络攻击，涉及金额高达36亿美元。其中包括去年年底某加密货币交易所遭受的1.475亿美元盗窃案，这笔资金在今年3月完成了洗钱过程。

值得注意的是，某混币平台于2022年遭到制裁，次年其两名联合创始人被指控协助洗钱超过10亿美元，其中包括与Lazarus Group有关的资金。

根据加密货币分析师的调查，Lazarus Group在2020年8月至2023年10月期间将价值2亿美元的加密货币转换为法定货币。

Lazarus Group长期以来被认为是全球范围内大规模网络攻击和金融犯罪的幕后黑手。他们的攻击目标涵盖了银行系统、加密货币交易所、政府机构和私人企业等多个领域。

Lazarus Group的攻击手法

社会工程和网络钓鱼攻击

Lazarus Group曾通过在社交媒体平台上发布虚假招聘广告来诱骗目标公司员工。他们要求求职者下载含有恶意代码的PDF文件，从而实施钓鱼攻击。这种方法被用于针对欧洲和中东的军事和航空航天公司。

在一次持续六个月的行动中，Lazarus Group使用类似手法攻击了某加密货币支付提供商，导致后者损失3700万美元。攻击者不仅向工程师发送虚假工作机会，还发起了分布式拒绝服务等技术攻击，并尝试暴力破解密码。

多起加密货币交易所攻击事件

2020年8月至10月期间，多家加密货币相关平台遭受攻击：

• 8月24日，某加拿大加密货币交易所钱包被盗。
• 9月11日，某项目因私钥泄露导致40万美元资金被非法转移。
• 10月6日，某平台热钱包中75万美元加密资产被盗。

这些被盗资金最终汇集到同一地址，并在2021年1月通过混币平台进行洗钱。经过多次转移和兑换，资金最终被发送到特定的提现地址。

针对个人的高额盗窃

2020年12月14日，某互助保险平台的创始人个人钱包遭到攻击，损失37万NXM代币（约830万美元）。黑客通过多个地址转移和兑换被盗资金，部分资金甚至经历了跨链操作。最终，大量资金被转入特定的提现地址。

最新攻击案例

2023年8月，两个不同项目分别遭遇黑客攻击，共计1524枚ETH被盗。这些被盗资金同样经过混币平台的洗钱过程，最终汇集到同一地址，并在之后被转移到常用的提现地址。

洗钱模式总结

通过分析Lazarus Group的多起攻击事件，可以总结出其主要洗钱手法：

1. 跨链转移：将被盗资产在不同区块链之间进行转移，增加追踪难度。
2. 使用混币器：大量使用混币平台来混淆资金来源。
3. 资金归集：将洗白后的资金集中到特定地址。
4. 固定提现渠道：使用固定的几个地址进行最终的提现操作。
5. OTC交易：通过场外交易将加密资产兑换为法币。

Lazarus Group的持续性攻击对Web3行业构成了严重威胁。相关机构正在密切关注该黑客团伙的动向，以期能够有效打击此类犯罪行为，并帮助受害者追回被盗资产。