Lazarus Group 背后有 5.4 亿美元的 Axie Infinity 加密黑客和对化学行业的攻击

美国财政部涉嫌朝鲜支持的Lazarus集团上月从Axie Infinity的Ronin网络中盗窃5.4亿美元。

周四，财政部将收到被盗数字货币的以太坊钱包地址与威胁行为人联系起来，并通过将该地址添加到外国资产管制办公室（OFAC）的特别指定国民（SDN）名单来制裁这些资金。

情报和执法机构在一份声明中表示：“联邦调查局将与财政部和其他美国政府合作伙伴合作，继续揭露和打击朝鲜使用非法活动，包括网络犯罪和加密货币盗窃，为朝鲜政权创造收入”。

2022年3月23日，加密货币盗窃案是迄今为止第二大网络盗窃案，涉及从Ronin cross chain bridge虹吸173600以太币（ETH）和2550万美元硬币，用户可以将其数字资产从一个加密网络转移到另一个加密网络。

Ronin网络在事件曝光一周后的披露报告中解释说：“攻击者使用被黑客攻击的私钥伪造虚假提款”。

通过批准钱包地址，此举禁止美国个人和实体与之进行交易，以确保国家赞助的集团不能再提取任何资金。椭圆公司的一项分析发现，截至4月14日，该演员已经成功清洗了18%的被虹吸的数字基金（约9700万美元）。

“首先，被盗的USDC通过分散化交易所（DEXs）交换给ETH，以防止其被扣押，”Elicipation指出。“通过在DEXs兑换代币，黑客避免了在集中交易所进行的反洗钱（AML）和“了解你的客户”（KYC）检查”。

近8030万美元的被洗钱资金涉及使用Tornado Cash，这是以太坊区块链上的一种混合服务，旨在掩盖资金的踪迹，另有价值970万美元的以太坊可能会以同样的方式被洗钱。

Lazarus Group是为代表朝鲜战略利益的多产国家赞助的行为者命名的总称，至少自2017年以来，该集团一直在进行加密货币盗窃，以绕过制裁并资助该国的核项目和弹道导弹项目。

曼迪安在最近的一次深入调查中指出：“该国的间谍活动被认为反映了该政权当前的关切和优先事项，目前可能集中于通过加密抢劫获取财政资源，以媒体、新闻和政治实体为目标，[和]外交关系信息和核信息”。

美国网络安全和基础设施安全局（CISA）将网络参与者描述为一个日益复杂的集体，在世界各地开发和部署了广泛的恶意软件工具，以促进这些活动。

链分析（ChainAnalysis）的数据显示，该集团于2021从加密平台掠夺了价值约4亿美元的数字资产，较2020年增长了40%，其中与比特币和以太相关的被盗资金仅占20%，占58%。剩余的22%为ERC-20代币和其他代币。

尽管美国政府对该黑客集团实施了制裁，但该集团最近开展的活动利用特洛伊木马化的分散金融（DeFi）钱包应用程序进入后门Windows系统，并从毫无戒心的用户那里挪用资金。

那不是全部。在博通赛门铁克本周披露的另一次网络攻击中，有人观察到该攻击者针对在化学行业运营的韩国组织，这似乎是被称为“梦想工作行动”的恶意软件活动的延续，这证实了谷歌威胁分析小组的调查结果2022 年 3 月。

今年1月初检测到的入侵始于一个可疑的HTM文件，该文件要么作为网络钓鱼电子邮件中的链接接收，要么从互联网下载，一旦打开，就会触发感染序列，最终导致从远程服务器检索第二阶段有效负载，以便于进一步入侵。

赛门铁克（Symantec）估计，袭击的目的是“获取知识产权，以推动朝鲜在这一领域的发展”

Lazarus集团对非法活动的持续打击也导致美国国务院宣布对“导致参与支持朝鲜的某些活动的人员的金融机制中断的信息”给予500万美元的奖励

几天前，纽约一家美国法院判处39岁的前以太坊开发商维吉尔·格里菲斯（VirgilGriffith）五年零三个月监禁，罪名是帮助朝鲜使用虚拟货币逃避制裁。

更糟糕的是，仅在2022年前三个月，恶意行为者就盗取了价值13亿美元的加密货币，而2021全年的盗取金额为32亿美元，这表明加密平台上的盗窃案“急剧上升”。

链分析（ChainAnalysis）在本周发布的一份报告中表示：“2022年前三个月被盗的加密货币中，几乎97%来自DeFi协议，高于2021的72%和2020年的30%”。

该区块链分析公司补充道：“然而，特别是对于DeFi协议，最大的盗窃通常是由于错误的代码”。“代码攻击和快闪贷款攻击，一种涉及操纵加密货币价格的代码攻击，在Ronin攻击之外所窃取的价值中占了很大一部分”。