背景
9月4日,推特用户PhantomX发推称朝鲜APT组织针对数十个ETH和SOL项目进行大规模的网络钓鱼活动。
该推特用户给出了196个钓鱼域名信息,分析后关联到朝鲜黑客相关信息,具体的域名列表如下:
慢雾安全团队注意到该事件并第一时间跟进深入分析:
由于朝鲜黑客针对加密货币行业的攻击模型多样化,我们披露的也只是冰山一角,因为一些保密的要求,本篇文章也仅针对其中一部分钓鱼素材包括相关钓鱼钱包地址进行分析。这里将重点针对NFT钓鱼进行分析。
钓鱼网站分析
经过深入分析,发现此次钓鱼的其中一种方式是发布虚假NFT相关的、带有恶意Mint的诱饵网站,这些NFT在OpenSea、X2Y2和Rarible等平台上都有出售。此次APT组织针对Crypto和NFT用户的钓鱼涉及将近500多个域名。
AzukiDAO:已关闭代币申领窗口,拟将所有代币转移至DAO金库:7月3日消息,AzukiDAO 发布公告称,已关闭治理代币的申领窗口,并计划提出将所有代币转移至 DAO 金库的提案,随后将从社区中选出多签贡献者。
此前报道,据 MetaSleuth 监测显示,AzukiDAO 的治理代币合约因存在漏洞受到攻击,已有两名攻击者利用该漏洞获利 35 ETH。[2023/7/3 22:15:29]
查询这些域名的注册相关信息,发现注册日期最早可追溯到7个月前:
同时我们也发现朝鲜黑客常使用的一些独有的钓鱼特征:
特征一:钓鱼网站都会记录访客数据并保存到外部站点。黑客通过HTTPGET请求将站点访问者信息记录到外部域,发送请求的域名虽不同但是请求的API?接口都为“/postAddr.php”。一般格式为“https://nserva.live/postAddr.php??mmAddr=......&accessTime=xxx&url=evil.site”,其中参数mmAddr记录访客的钱包地址,accessTime记录访客的访问时间,url记录访客当前所访问的钓鱼网站链接。
MakerDAO披露stETH持仓详情及stETH清算价格:6月15日消息,MakerDAO披露协议持有stETH的数据详情:stETH抵押品约占所有DAI抵押品的3%,价值约2.6亿美元;WSTETH-A资金库锁定204,661.12WSTETH,价值2.432亿美元,8290万DAI总债务,293.42%的总体抵押;WSTETH-B资金库锁定9,014.31WSTETH,价值1070万美元,250万DAI总债务,424.42%的整体抵押。
Maker表示,对于WSTETH-A资金库,若stETH跌至892美元,价值3330万美元的stETH将被清算;若stETH跌至582美元,价值7460万美元的stETH将被清算。对于WSTETH-B资金库,若stETH跌至903美元,价值64.5万美元的stETH将被清算;若stETH跌至594美元,价值200万美元的stETH将被清算。[2022/6/15 4:27:22]
特征二:钓鱼网站会请求一个NFT项目价目表,通常HTTP的请求路径为“getPriceData.php”:
杜嘉班纳NFT拍卖吸引了多个DAO:金色财经报道,多个去中心化自治组织(DAO)已表示有兴趣在9月20日参与时尚和奢侈品品牌杜嘉班纳(DOLCE&GABBANA)NFT系列的拍卖。此次拍卖包括两件威尼斯主题的定制连衣裙、三件夹克、两顶王冠和一顶冠状头饰。其中五个NFT的所有者可兑换相应的实物作品。根据一位消息人士的说法,以NFT为重点的DAO很有可能会竞标并获得稀有收藏。欧洲区块链投资公司Outlier Ventures的首席执行官JamieBurke表示,对于个人而言,价格可能会令人望而却步。因此怀疑潜在买家可能是DAO或拥有社交代币的社区。[2021/9/8 23:08:06]
特征三:存在一个链接图像到目标项目的文件“imgSrc.js”,包含目标站点列表和在其相应网络钓鱼站点上使用的图像文件的托管位置,这个文件可能是钓鱼网站模板的一部分。
进一步分析发现APT用于监控用户请求的主要域名为“thedoodles.site”,此域名在APT活动早期主要用来记录用户数据:
波卡隐私DeFi项目Manta Network宣布加入波卡DAO联盟:官方消息,波卡隐私DeFi项目Manta Network宣布加入波卡DAO联盟。至此,波卡DAO联盟成员数已扩大至17家波卡生态项目,涵盖了DAO、智能合约、DeFi、隐私、存储等多个领域。Manta CSOVictor表示:“Manta非常荣幸加入波卡DAO联盟,与众多波卡生态项目一起打造公开透明高效的去中心化社区组织。希望Manta可以借助SubDAO的力量更好地与其它生态成员相互协作、也通过Manta的隐私DeFi基础设施为波卡生态提供隐私支持,共同赋能波卡生态。”[2021/5/26 22:45:06]
查询该域名的HTTPS证书启用时间是在7个月之前,黑客组织已经开始实施对NFT用户对攻击。
最后来看下黑客到底运行和部署了多少个钓鱼站点:
比如最新的站点伪装成世界杯主题:
继续根据相关的HTTPS证书搜索得到相关的网站主机信息:
慢雾:警惕高危Apache Log4j2远程代码执行漏洞:据慢雾安全情报,在12月9日晚间出现了Apache Log4j2 远程代码执行漏洞攻击代码。该漏洞利用无需特殊配置,经多方验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。Apache Log4j2是一款流行的Java日志框架,建议广大交易所、钱包、DeFi项目方抓紧自查是否受漏洞影响,并尽快升级新版本。[2021/12/10 7:30:00]
在一些主机地址中发现了黑客使用的各种攻击脚本和统计受害者信息的txt文件。
这些文件记录了受害者访问记录、授权情况、使用插件钱包的情况:
可以发现这些信息跟钓鱼站点采集的访客数据相吻合。
其中还包括受害者approve记录:
以及签名数据sigData等,由于比较敏感此处不进行展示。
另外,统计发现主机相同IP下NFT钓鱼站群,单独一个IP下就有372个NFT钓鱼站点:
另一个IP下也有320个NFT钓鱼站群:
甚至包括朝鲜黑客在经营的一个DeFi平台:
由于篇幅有限,此处不再赘述。
钓鱼手法分析
结合之前文章,我们对此次钓鱼事件的核心代码进行了分析。我们发现黑客钓鱼涉及到WETH、USDC、DAI、UNI等多个地址协议。
下面代码用于诱导受害者进行授权NFT、ERC?20等较常见的钓鱼Approve操作:
除此之外,黑客还会诱导受害者进行Seaport、Permit等签名。
下面是这种签名的正常样例,只是在钓鱼网站中不是“opensea.io”这个域名。
我们在黑客留下的主机也发现了这些留存的签名数据和“Seaport”的签名数据特征一致。
由于这类型的签名请求数据可以“离线存储”,黑客在拿到大量的受害者签名数据后批量化的上链转移资产。
MistTrack分析
对钓鱼网站及手法分析后,我们选取其中一个钓鱼地址进行分析。
可以看到这个地址已被MistTrack标记为高风险钓鱼地址,交易数也还挺多。钓鱼者共收到1055个NFT,售出后获利近300ETH。
往上溯源,该地址的初始资金来源于地址转入的4.97ETH。往下溯源,则发现该地址有与其他被MistTrack标记为风险的地址有交互,以及有5.7ETH转入了FixedFloat。
再来分析下初始资金来源地址,目前收到约6.5ETH。初始资金来源于Binance转入的1.433ETH。
同时,该地址也是与多个风险地址进行交互。
总结
由于保密性和隐私性,本文仅针对其中一部分?NFT?钓鱼素材进行分析,并提炼出朝鲜黑客的部分钓鱼特征,当然,这只是冰山一角。慢雾在此建议,用户需加强对安全知识的了解,进一步强化甄别网络钓鱼攻击的能力等,避免遭遇此类攻击。
Ps.感谢hip、ScamSniffer提供的支持。
相关链接:
https://www.prevailion.com/what-wicked-webs-we-unweave
https://twitter.com/PhantomXSec/status/1566219671057371136?
https://twitter.com/evilcos/status/1603969894965317632?
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。