Group-IB研究人員發(fā)現(xiàn)朝鮮黑客組織Lazarus的一起加密貨幣竊取攻擊活動(dòng)——Lazarus BTC Changer。這是Lazarus 組織首次使用也JS嗅探器來竊取加密貨幣。在該攻擊活動(dòng)中，Lazarus黑客還使用了與clientToken= 攻擊活動(dòng)相同的基礎(chǔ)設(shè)施。

[[394701]]

2020年2月底，Group-IB研究人員發(fā)現(xiàn)Lazarus 開始使用一個(gè)clientToken= campaign 攻擊活動(dòng)中使用的惡意JS 腳本的修改版本。新版本的JS 腳本中與原版本中具有相同的名字，但是銀行卡收集功能被替換成了加密貨幣竊取器，并開始攻擊接受比特幣支付的公司。Group-IB研究人員將新版本的惡意JS 腳本命名為Lazarus BTC Changer。攻擊活動(dòng)將目的支付地址替換成了攻擊者的比特幣地址。

、圖1: Lazarus BTC Changer部分源代碼

為了保存惡意JS 文件，攻擊者使用被黑的網(wǎng)站luxmodelagency[.]com。還使用了受感染的網(wǎng)站中的內(nèi)部JS 文件來保存惡意JS。

Lazarus BTC Changer攻擊活動(dòng)分析

受感染的網(wǎng)站

在分析Lazarus BTC Changer時(shí)，研究人員發(fā)現(xiàn)了3個(gè)被黑的網(wǎng)站，其中2個(gè)與clientToken=攻擊活動(dòng)的相同，分別是"Realchems" (https://realchems.com/) 和 "Wongs Jewellers"

(https://www.wongsjewellers.co.uk/)。

樣本

Lazarus BTC Changer將傳統(tǒng)JS 嗅探器中收集的銀行卡信息替換成了黑客所擁有的比特幣或以太坊地址。含有比特幣和以太坊地址的JS代碼如圖2所示：

圖2: 含有比特幣和以太坊地址的Lazarus BTC Changer樣本

比特幣交易分析

研究人員從Lazarus BTC Changer樣本中提取了攻擊者用來接收竊取資金的4個(gè)加密貨幣地址：

• 0x460ab1c34e4388704c5e56e18D904Ed117D077CC
• 1Gf8U7UQEJvMXW5k3jtgFATWUmQXVyHkJt
• 1MQC6C4FVX8RhmWESWsazEb5dyDBhxH9he
• 1DjyE7WUCz9DLabw5EWAuJVpUzXfN4evta

Group-IB 分析了與Lazarus控制的與比特幣地址相關(guān)的交易，發(fā)現(xiàn)攻擊者可能使用了CoinPayments.net。研究人員對(duì)攻擊者比特幣地址到地址35dnPpcXMGEoWE1gerDoC5xS92SYCQ61y6的現(xiàn)金流分析，發(fā)現(xiàn)了3個(gè)到CoinPayments.net所有的比特幣錢包的交易。CoinPayments.net是一個(gè)允許用戶進(jìn)行比特幣、以太坊和其他加密貨幣交易的支付網(wǎng)關(guān)。因此，Lazarus 可能使用了CoinPayments.net 來進(jìn)行加密貨幣交換和轉(zhuǎn)移到外部加密貨幣地址。理論上講，該網(wǎng)站的KYC 規(guī)則可以幫助識(shí)別攻擊背后的個(gè)人。

錢包分析

從提取的比特幣地址來看，截止目前，攻擊者轉(zhuǎn)移了0.89993859 BTC，價(jià)值52611萬美元。2個(gè)用來竊取資金的比特幣地址共接收到了43個(gè)交易。

從提取的以太坊地址來看，共接收到了29個(gè)交易，共獲利4.384719 ETH，價(jià)值9047美元。

更多技術(shù)細(xì)節(jié)參見：https://www.group-ib.com/blog/btc_changer

本文翻譯自：https://www.group-ib.com/blog/btc_changer