Tác giả: SharkTeam

Các tổ chức APT (Mối đe dọa liên tục nâng cao) cấp quốc gia là các nhóm hacker hàng đầu được hỗ trợ bởi nền tảng quốc gia và chuyên thực hiện các cuộc tấn công mạng lâu dài và liên tục nhằm vào các mục tiêu cụ thể. Tổ chức APT của Triều Tiên Lazarus Group là một nhóm APT rất tích cực. Mục đích tấn công của nó chủ yếu là đánh cắp tiền, khiến nó trở thành mối đe dọa lớn nhất đối với các tổ chức tài chính toàn cầu. Trong những năm gần đây, chúng đã gây ra nhiều vụ tấn công và trộm cắp quỹ trong lĩnh vực tiền điện tử.

1. Nhóm Lazarus

Theo thông tin trên Wikipedia, Tập đoàn Lazarus được thành lập vào năm 2007 và trực thuộc Trung tâm nghiên cứu số 110 trực thuộc Cục 3 của Tổng cục Trinh sát thuộc Bộ Tổng tham mưu Quân đội Nhân dân Triều Tiên, chuyên về chiến tranh mạng. Tổ chức này được chia thành 2 bộ phận, một bộ phận là BlueNorOff (còn gọi là APT 38) với khoảng 1.700 thành viên, chịu trách nhiệm chuyển tiền bất hợp pháp bằng cách giả mạo các lệnh SWIFT và tập trung khai thác các lỗ hổng mạng để thu lợi tài chính hoặc kiểm soát hệ thống để thực hiện các hành vi phạm tội tài chính mạng. Phân khúc này nhắm vào các tổ chức tài chính và sàn giao dịch tiền điện tử. Một nhóm khác, AndAriel, có khoảng 1.600 thành viên, nhắm mục tiêu vào Hàn Quốc.

Hoạt động tấn công sớm nhất được biết đến của Lazarus Group là "Chiến dịch Trojan" năm 2009, sử dụng công nghệ DDoS để tấn công chính phủ Hàn Quốc. Nổi tiếng nhất là vụ tấn công Sony Pictures năm 2014 vì hãng này phát hành bộ phim hài về vụ ám sát nhà lãnh đạo Triều Tiên Kim Jong Un.

Một cuộc tấn công nổi tiếng của BlueNorOff, một công ty con của nhóm, là cuộc tấn công vào Ngân hàng Bangladesh năm 2016, trong đó họ cố gắng sử dụng mạng SWIFT để chuyển trái phép gần 1 tỷ USD từ một tài khoản tại Ngân hàng Dự trữ Liên bang New York thuộc Ngân hàng Trung ương. Ngân hàng Bangladesh. Sau khi một vài giao dịch được hoàn thành (20 triệu USD đến từ Sri Lanka và 81 triệu USD đến từ Philippines), Fed New York đã chặn phần còn lại, với lý do nghi ngờ do lỗi chính tả.

Nhóm này đã nhắm mục tiêu vào ngành công nghiệp tiền điện tử từ năm 2017 và đã kiếm được ít nhất 1 tỷ USD lợi nhuận.

2. Phân tích các phương pháp kỹ thuật và chiến thuật

2.1 Phân tích các phương thức tấn công phổ biến

Trong những ngày đầu, Lazarus chủ yếu sử dụng botnet để thực hiện các cuộc tấn công DDos vào các mục tiêu; giờ đây các phương thức tấn công chính đã chuyển sang tấn công bằng lao móc, tấn công hố tưới nước, tấn công chuỗi cung ứng và các phương pháp khác. Các cuộc tấn công kỹ thuật xã hội có mục tiêu cũng được thực hiện để nhắm vào các cá nhân khác nhau.

Đặc điểm chiến thuật:

(1) Sử dụng các cuộc tấn công bằng email và tấn công lỗ tưới nước

(2) Quá trình tấn công sẽ sử dụng phân tích hư hỏng hệ thống hoặc các sự kiện can thiệp của ứng dụng ransomware

(3) Tận dụng các lỗ hổng giao thức SMB hoặc các công cụ sâu liên quan để đạt được chuyển động ngang và phân phối tải trọng

(4) Tấn công hệ thống SWIFT ngân hàng để lấy cắp tiền

Đặc điểm kỹ thuật:

(1) Sử dụng nhiều thuật toán mã hóa, bao gồm RC 4, AES, Spritz và các thuật toán tiêu chuẩn khác, đồng thời sử dụng XOR và thuật toán chuyển đổi ký tự tùy chỉnh

(2) Chủ yếu sử dụng các giao thức TLS được xây dựng sai để vượt qua IDS bằng cách viết tên miền trắng vào bản ghi SNI. Cũng sử dụng IRC, giao thức HTTP

(3) Phá hủy hệ thống bằng cách hủy MBR, bảng phân vùng hoặc ghi dữ liệu rác vào các lĩnh vực

(4) Sử dụng script tự xóa

Các phương pháp tấn công:

(1) Tấn công Harpoon: Tấn công Harpoon là thuật ngữ chỉ virus máy tính và là một trong những phương thức tấn công của hacker. Chương trình ngựa Trojan được gửi dưới dạng tệp đính kèm vào một email có tên rất hấp dẫn và được gửi đến máy tính mục tiêu để xúi giục nạn nhân mở tệp đính kèm và từ đó lây nhiễm ngựa Trojan. Lazarus thường sử dụng các email mang tài liệu độc hại làm mồi nhử, định dạng tệp phổ biến là DOCX và sau đó định dạng BMP đã được thêm vào. Phương thức xâm nhập chủ yếu sử dụng macro độc hại, lỗ hổng Office phổ biến, lỗ hổng 0 ngày và kỹ thuật cấy RAT.

(2) Tấn công Watering Hole: Đúng như tên gọi, nó đặt một "watering Hole (bẫy)" trên con đường duy nhất của nạn nhân. Phương pháp phổ biến nhất là tin tặc phân tích mô hình hoạt động Internet của mục tiêu tấn công và tìm ra các trang web Mục tiêu tấn công thường xuyên truy cập.Để phát hiện điểm yếu của website, trước tiên hãy “phá” website và cấy mã tấn công, một khi mục tiêu tấn công truy cập vào website sẽ bị “tấn công”. Lazarus thường sử dụng các cuộc tấn công Watering Hole nhằm vào các tổ chức tài chính nhỏ ở các khu vực nghèo hoặc kém phát triển, cho phép chúng đánh cắp tiền trên quy mô lớn trong một khoảng thời gian ngắn. Vào năm 2017, Lazarus đã phát động một cuộc tấn công hố nước nhằm vào cơ quan quản lý tài chính Ba Lan và cấy các lỗ hổng JavaScript độc hại vào trang web chính thức, dẫn đến việc cấy các chương trình độc hại vào nhiều ngân hàng Ba Lan. Cuộc tấn công đã lây nhiễm sang 104 tổ chức ở 31 quốc gia, phần lớn nhắm vào các tổ chức tài chính ở Ba Lan, Chile, Hoa Kỳ, Mexico và Brazil.

(3) Tấn công kỹ thuật xã hội: Tấn công kỹ thuật xã hội là một loại tấn công mạng sử dụng “kỹ thuật xã hội” để thực hiện. Trong khoa học máy tính, kỹ thuật xã hội đề cập đến phương pháp giao tiếp hợp pháp với người khác nhằm tác động đến tâm lý của họ, thực hiện một số hành động nhất định hoặc tiết lộ một số thông tin bí mật. Đây thường được coi là hành vi lừa đảo người khác nhằm thu thập thông tin, thực hiện hành vi lừa đảo và hack vào hệ thống máy tính. Lazarus rất giỏi áp dụng các kỹ thuật tấn công xã hội vào chu kỳ tấn công, dù là mồi nhử được đưa ra hay danh tính được ngụy trang, nạn nhân đều không thể nhận dạng được và rơi vào bẫy của nó. Trong năm 2020, Lazarus giả vờ tuyển dụng nhân viên tiền điện tử trên LinkedIn và gửi các tài liệu độc hại được thiết kế để lấy thông tin xác thực nhằm đánh cắp tiền điện tử mục tiêu. Năm 2021, Lazarus ẩn nấp trên Twitter với tư cách là nhân viên an ninh mạng, chờ cơ hội gửi các tập tin kỹ thuật nhúng mã độc để tấn công đồng nghiệp.

Kho vũ khí:

Các vũ khí mạng được Lazarus sử dụng bao gồm một số lượng lớn các công cụ tùy chỉnh và có nhiều điểm tương đồng trong mã được sử dụng. Có thể nói rằng những phần mềm này đến từ cùng một nhà phát triển, điều này cho thấy rằng có một quy mô nhất định của nhóm phát triển đằng sau Lazarus. Các khả năng và công cụ tấn công mà Lazarus sở hữu bao gồm botnet DDoS, keylogger, RAT, phần mềm độc hại xóa sạch và các mã độc được sử dụng bao gồm Destover, Duuzer và Hangman.

2.2 Phân tích các sự kiện tấn công điển hình

Sau đây là một ví dụ về cuộc tấn công lao công Lazarus điển hình nhắm vào ngành công nghiệp mã hóa. Lazarus sử dụng các tệp đính kèm hoặc liên kết email để xúi giục nhân viên mục tiêu tải xuống các gói nén độc hại và thực thi các tệp độc hại trong gói nén.

"CoinbaseJobDescription" ở cuối email là một liên kết độc hại và khiến người dùng nhấp vào nó, sau khi nhấp vào, người dùng sẽ tải xuống gói nén độc hại và thực thi tệp độc hại trong gói nén. Các gói nén được chia thành ba tình huống:

(1) Phát hành tệp mồi được mã hóa và tệp LNK có chứa các lệnh độc hại. Tệp LNK tải trọng tải tiếp theo và tải trọng tiếp theo sẽ giải phóng khóa tệp và tập lệnh độc hại;

(2) Giải phóng tệp LNK, tệp LNK tải trọng tải tiếp theo và tải tiếp theo sẽ giải phóng tệp mồi và tập lệnh độc hại;

(3) Phát hành tệp VĂN PHÒNG có macro và tải trọng tiếp theo sẽ được macro độc hại tải xuống và thực thi.

Lấy mẫu b94a13586828f8f3474f7b89755f5e7615ff946efd510a4cca350e6e1b4af440 làm ví dụ để phân tích. Tệp mẫu có tên Ledger_Nano_S&X_Security_Patch_Manual.zip, là gói nén zip. LedgerNano trong tên tệp là ví phần cứng được sử dụng để bảo vệ tài sản được mã hóa và S và X là số kiểu của nó.

Mẫu này được ngụy trang dưới dạng hướng dẫn vá lỗi bảo mật cho LedgerNano, sau khi giải nén, một tệp lối tắt được ngụy trang dưới dạng tệp pdf sẽ được phát hành:

SharkTeam: Tổ chức APT ngầm của Triều Tiên Lazarus Group, phương thức tấn công và mô hình rửa tiền

Sau khi người dùng click đúp vào phím tắt, lệnh sẽ được thực thi:

Trong lệnh này, sử dụng cmd để âm thầm thực thi chương trình mở rộng, sao chép msiexec.exe vào đường dẫn %appdata%\pat.exe, sau đó sử dụng pcalua.exe để mở pat.exe, tải xuống tệp msi từ máy chủ từ xa và thực thi nó. Một loạt các kỹ thuật được sử dụng trong quá trình này để tránh bị phát hiện Trojan:

(1) Expand.exe là một chương trình được hệ thống sử dụng để giải nén các gói nén, nhưng nó có thể được sử dụng để sao chép các tập tin thay vì lệnh sao chép nhạy cảm;

(2) Sao chép và đổi tên msiexec.exe để tránh bị phát hiện việc thực thi msiexec.exe;

(3) pcalua.exe là trợ lý tương thích chương trình Windows và là chương trình danh sách trắng của hệ thống, kẻ tấn công sử dụng chương trình này để gọi msiexec.exe được đổi tên thành pat.exe để truy cập tệp msi độc hại trên máy chủ từ xa, do đó tránh bị phát hiện.

Sau khi chạy tệp MSI thu được, tập lệnh nhúng sẽ được thực thi:

Tập lệnh này là tập lệnh một giai đoạn điển hình của Lazarus, có chức năng:

(1) Tải xuống và mở các tệp PDF thông thường để gây nhầm lẫn cho nạn nhân;

(2) Thả file Edge .lnk vào thư mục khởi động để hoàn tất quá trình tự khởi động, lệnh được thực thi bởi file lnk về cơ bản giống với file lnk sau khi giải nén mẫu. pcalua.exe cũng được dùng để gọi file đã đổi tên msiexec.exe để tải msi trên tập tin máy chủ từ xa, tên và biểu tượng của tập tin được ngụy trang dưới dạng trình duyệt Edge nhằm khiến nạn nhân mất cảnh giác;

(3) Gọi lệnh WMI để lấy danh sách tên quy trình và ghép nó lại với nhau, sau đó kiểm tra tên quy trình sau:

“kwsprot”: Các quy trình liên quan đến Kingsoft Internet Security

"npprot": Quy trình liên quan đến Net ProtectorAntiVirus

"fshoster": Quy trình liên quan đến F-Secure

(4) Nếu một trong các chuỗi trên tồn tại trong tên tiến trình được ghép, cscript.exe sẽ được sử dụng để thực thi tập lệnh tiếp theo, nếu không thì npprot sẽ sử dụng wscript.exe;

(5) Sao chép chương trình thực thi tập lệnh đã chọn vào thư mục %public% và nếu kwsprot hoặc npprot tồn tại trong tên tiến trình, chương trình được sử dụng để thực thi tập lệnh sẽ được đổi tên thành icb.exe để tránh bị phát hiện;

(6) Giải mã tập lệnh tiếp theo được mã hóa cơ sở 64 và phát hành nó vào thư mục tạm thời có tên RgdASRgrsF.js

(7) Sử dụng script copy vào thư mục %public% để thực thi chương trình và thực thi RgdASRgrsF.js

RgdASRgrsF.js là một script hai giai đoạn điển hình của Lazarus, chức năng của nó rất đơn giản, nó tạo ra một UID ngẫu nhiên và giao tiếp với máy chủ, sau đó lặp lại để nhận và thực thi các lệnh từ máy chủ, các lệnh được thực thi thường là các lệnh thu thập thông tin hệ thống:

Tại thời điểm này, cuộc tấn công đã hoàn tất và tin tặc có thể lấy được thông tin nhạy cảm như tệp hoặc mật khẩu mà hắn cần trên máy tính của người dùng. Thông qua Lazarus, có thể thấy rằng các ngành công nghiệp mục tiêu hiện tại mà nó tấn công bao gồm chính phủ, quân đội, tài chính, công nghiệp hạt nhân, công nghiệp hóa chất, chăm sóc y tế, hàng không vũ trụ, phương tiện giải trí và tiền điện tử.

3. Phân tích các hình thức rửa tiền

Các sự cố và tổn thất bảo mật do các cuộc tấn công của Lazarus gây ra trong lĩnh vực mã hóa đến nay đã được thống kê rõ ràng như sau:

Hơn 3 tỷ USD tiền đã bị Lazarus đánh cắp trong các cuộc tấn công mạng, có thông tin cho rằng tổ chức hacker Lazarus được hỗ trợ bởi các lợi ích chiến lược của Triều Tiên và cung cấp kinh phí cho các chương trình bom hạt nhân và tên lửa đạn đạo của Triều Tiên. Để đạt được mục tiêu này, Hoa Kỳ đã công bố khoản tiền thưởng trị giá 5 triệu USD và các biện pháp trừng phạt đối với nhóm hack Lazarus. Bộ Tài chính Hoa Kỳ cũng đã thêm các địa chỉ liên quan vào danh sách Các quốc gia được chỉ định đặc biệt (SDN) của OFAC, cấm các cá nhân, tổ chức và địa chỉ liên quan của Hoa Kỳ thực hiện các giao dịch để đảm bảo rằng các nhóm được nhà nước bảo trợ không thể rút các khoản tiền này thành tiền mặt như một hình phạt. Nhà phát triển Ethereum Virgil Griffith bị kết án 5 năm 3 tháng tù vì giúp Triều Tiên sử dụng tiền ảo để trốn tránh các lệnh trừng phạt. Năm nay, OFAC cũng xử phạt 3 cá nhân liên quan đến Tập đoàn Lazarus, 2 trong số đó bị trừng phạt là Cheng Hung Man và Wu. Huihui là nhà giao dịch không cần kê đơn (OTC), người đã tạo điều kiện thuận lợi cho giao dịch tiền điện tử cho Lazarus, trong khi người thứ ba, Sim Hyon Sop, cung cấp hỗ trợ tài chính khác.

Mặc dù vậy, Lazarus đã hoàn thành việc chuyển giao và rửa tài sản trị giá hơn 1 tỷ USD và mô hình rửa tiền của họ được phân tích dưới đây. Lấy sự cố Ví Atomic làm ví dụ, sau khi loại bỏ các yếu tố can thiệp kỹ thuật do hacker thiết lập (một số lượng lớn giao dịch chuyển token giả + chia tách nhiều địa chỉ), có thể thu được mô hình chuyển tiền của hacker:

Hình: Chế độ xem chuyển tiền của nạn nhân Ví Atomic 1

Địa chỉ nạn nhân 1 0x b 0 2d...c 6072 đã chuyển 304,36 ETH đến địa chỉ hacker 0x 3916...6340 và sau 8 lần chia tách qua địa chỉ trung gian 0x 0159...7 b 70, nó đã được thu thập tại địa chỉ 0x 69 ca ...5324. Số tiền thu được sau đó được chuyển đến địa chỉ 0x 514 c...58 f 67. Tiền vẫn còn ở địa chỉ này và số dư ETH trong địa chỉ là 692,74 ETH (trị giá 1,27 triệu USD).

Hình: Chế độ xem chuyển tiền của nạn nhân Ví Atomic 1

Địa chỉ nạn nhân 1 0x b 0 2d...c 6072 đã chuyển 304,36 ETH đến địa chỉ hacker 0x 3916...6340 và sau 8 lần chia tách qua địa chỉ trung gian 0x 0159...7 b 70, nó đã được thu thập tại địa chỉ 0x 69 ca ...5324. Số tiền thu được sau đó được chuyển đến địa chỉ 0x 514 c...58 f 67. Tiền vẫn còn ở địa chỉ này và số dư ETH trong địa chỉ là 692,74 ETH (trị giá 1,27 triệu USD).

Mô hình rửa tiền này rất phù hợp với mô hình rửa tiền trong các cuộc tấn công Ronin Network và Harmony trước đây và cả hai đều bao gồm ba bước:

(1) Phân loại và trao đổi số tiền bị đánh cắp: Sau khi phát động một cuộc tấn công, hãy phân loại các mã thông báo bị đánh cắp ban đầu và hoán đổi nhiều mã thông báo thành ETH thông qua dex và các phương thức khác. Đây là một cách phổ biến để tránh bị đóng băng quỹ.

(2) Thu thập số tiền bị đánh cắp: Thu thập ETH có tổ chức vào một số địa chỉ ví dùng một lần. Tổng cộng có 9 địa chỉ như vậy đã bị tin tặc sử dụng trong vụ Ronin, 14 địa chỉ trong vụ Harmony và gần 30 địa chỉ trong vụ Ví Atomic.

(3) Chuyển tiền bị đánh cắp: Sử dụng địa chỉ nhận tiền để rửa tiền thông qua Tornado.Cash. Điều này hoàn thành toàn bộ quá trình chuyển tiền.

Ngoài việc có các bước rửa tiền giống nhau, các chi tiết rửa tiền còn có mức độ nhất quán cao:

(1) Những kẻ tấn công rất kiên nhẫn và mất tới một tuần để thực hiện các hoạt động rửa tiền, tất cả đều bắt đầu các hoạt động rửa tiền tiếp theo vài ngày sau khi vụ việc xảy ra.

(2) Các giao dịch tự động được sử dụng trong quá trình rửa tiền. Hầu hết các hoạt động thu quỹ liên quan đến một số lượng lớn các giao dịch, khoảng thời gian nhỏ và một mô hình thống nhất.

Qua phân tích, chúng tôi cho rằng mô hình rửa tiền của Lazarus thường như sau:

(1) Việc tách các tài khoản thành nhiều tài khoản và chuyển tài sản với số lượng nhỏ khiến việc theo dõi trở nên khó khăn hơn.

(2) Bắt đầu tạo ra một số lượng lớn các giao dịch tiền giả, khiến việc theo dõi trở nên khó khăn hơn. Lấy sự cố Ví Atomic làm ví dụ, 23 trong số 27 địa chỉ trung gian là địa chỉ chuyển tiền giả. Một phân tích gần đây về sự cố Stake.com cũng cho thấy công nghệ tương tự đã được sử dụng, nhưng điều này không xảy ra trong Mạng Ronin trước đó và Sự cố hài hòa Công nghệ can thiệp cho thấy công nghệ rửa tiền của Lazarus cũng đang được nâng cấp.

(3) Nhiều phương pháp trực tuyến hơn (như Tonado Cash) được sử dụng để trộn tiền tệ. Trong những sự cố ban đầu, Lazarus thường sử dụng các sàn giao dịch tập trung để lấy vốn khởi nghiệp hoặc tiến hành OTC tiếp theo, nhưng gần đây, các sàn giao dịch tập trung ngày càng ít được sử dụng Do đó, thậm chí có thể coi là có thể tránh sử dụng các sàn giao dịch tập trung, điều này có thể liên quan đến một số sự cố trừng phạt gần đây.

About Us

Tầm nhìn của SharkTeam là bảo vệ thế giới Web3. Nhóm bao gồm các chuyên gia bảo mật giàu kinh nghiệm và các nhà nghiên cứu cấp cao từ khắp nơi trên thế giới, những người thành thạo lý thuyết cơ bản về blockchain và hợp đồng thông minh. Nó cung cấp các dịch vụ bao gồm phân tích dữ liệu lớn trên chuỗi, cảnh báo rủi ro trên chuỗi, kiểm toán hợp đồng thông minh, phục hồi tài sản tiền điện tử và các dịch vụ khác, đồng thời đã xây dựng nền tảng phân tích dữ liệu lớn và cảnh báo rủi ro trên chuỗi ChainAegis. phân tích biểu đồ chuyên sâu và có thể chống lại các rủi ro Trộm cắp liên tục nâng cao mới (APT) một cách hiệu quả trong thế giới Web3. Nó đã thiết lập mối quan hệ hợp tác lâu dài với những người chơi chủ chốt trong các lĩnh vực khác nhau của hệ sinh thái Web3, như Polkadot, Moonbeam, Polygon, OKX, Huobi Global, imToken, ChainIDE, v.v.