Group-IB科学研究工作人员发现朝鲜黑客组织Lazarus的一起加密货币窃取攻击主题活动——Lazarus BTC Changer。这也是Lazarus 机构初次应用也JS嗅探工具来窃取加密货币。在该攻击主题活动中,Lazarus网络黑客还采用了与clientToken= 攻击主题活动同样的基础设施建设。
2020年2月底,Group-IB科学研究工作人员发现Lazarus 逐渐应用一个clientToken= campaign 攻击主题活动中采用的故意JS 脚本制作的改动版本号。最新版本的JS 脚本制作中与原版本号中具备同样的名称,可是储蓄卡搜集作用被换成了加密货币窃取器,并逐渐攻击接纳BTC付款的企业。Group-IB科学研究工作人员将最新版本的故意JS 脚本制作取名为Lazarus BTC Changer。攻击主题活动将目地付款详细地址换成了攻击者的比特币地址。
、图1: Lazarus BTC Changer一部分源码
为了更好地储存故意JS 文档,攻击者应用网站被黑的网址luxmodelagency[.]com。还应用了受感柒的网址中的内部结构JS 文档来储存故意JS。
Lazarus BTC Changer攻击主题活动剖析
受传染的网址
在剖析Lazarus BTC Changer时,科学研究工作人员发现了3个网站被黑的网址,在其中2个与clientToken=攻击主题活动的同样,分别是"Realchems" (https://realchems.com/) 和 "Wongs Jewellers"
(https://www.wongsjewellers.co.uk/)。
样版
Lazarus BTC Changer将传统式JS 嗅探工具中整理的银行卡信息换成了网络黑客所具有的BTC或以太币详细地址。带有BTC和以太币详细地址的JS编码如下图2所显示:
图2: 带有BTC和以太币详细地址的Lazarus BTC Changer样版
虚拟货币交易剖析
科学研究工作人员从Lazarus BTC Changer样版中获取了攻击者用于接受窃取资产的4个加密货币详细地址:
- 0x460ab1c34e4388704c5e56e18D904Ed117D077CC
- 1Gf8U7UQEJvMXW5k3jtgFATWUmQXVyHkJt
- 1MQC6C4FVX8RhmWESWsazEb5dyDBhxH9he
- 1DjyE7WUCz9DLabw5EWAuJVpUzXfN4evta
Group-IB 剖析了与Lazarus操纵的与比特币地址有关的买卖,发现攻击者很有可能应用了CoinPayments.net。科学研究员工对攻击者比特币地址到详细地址35dnPpcXMGEoWE1gerDoC5xS92SYCQ61y6的现金流量剖析,发现了3个到CoinPayments.net全部的比特币钱包的买卖。CoinPayments.net是一个容许客户开展BTC、以太币和别的加密货币买卖的支付网站。因而,Lazarus 很有可能应用了CoinPayments.net 来开展加密货币互换和迁移到外界加密货币详细地址。理论上讲,该站点的KYC 标准可以协助鉴别攻击身后的本人。
钱夹剖析
从获取的比特币地址看来,到目前为止,攻击者迁移了0.89993859 BTC,使用价值52611万美金。2个用于窃取资产的比特币地址共接受到了43个买卖。
从获取的以太币详细地址看来,共接受到了29个买卖,共盈利4.384719 ETH,使用价值9047美金。
大量关键技术参照:https://www.group-ib.com/blog/btc_changer
文中翻譯自:https://www.group-ib.com/blog/btc_changer