NFT:慢雾：朝鲜APT组织对NFT用户大规模钓鱼事件分析_Dopex Rebate Token

原文作者：山&耀

原文来源：慢雾安全团队

安全团队发现疑似APT团伙针对加密生态的NFT用户进行大规模钓鱼活动，并发布了《“零元购”NFT钓鱼分析》。

9月4日，推特用户PhantomX发推称朝鲜APT组织针对数十个ETH和SOL项目进行大规模的网络钓鱼活动。

货币行业的攻击模型多样化，我们披露的也只是冰山一角，因为一些保密的要求，本篇文章也仅针对其中一部分钓鱼素材包括相关钓鱼钱包地址进行分析。这里将重点针对NFT钓鱼进行分析。

OpenSea、X2Y2和Rarible等平台上都有出售。此次APT组织针对Crypto和NFT用户的钓鱼涉及将近500多个域名。

查询这些域名的注册相关信息，发现注册日期最早可追溯到7个月前：

慢雾：苹果发布可导致任意代码执行的严重漏洞提醒，请及时更新:7月11日消息，慢雾首席信息安全官23pds发推称，近日苹果发布严重漏洞提醒，官方称漏洞CVE-2023-37450可以在用户访问恶意网页时导致在你的设备上任意代码执行，据信这个已经存在被利用的情况，任意代码危害严重，请及时更新。[2023/7/11 10:47:05]

同时我们也发现朝鲜黑客常使用的一些独有的钓鱼特征：

特征一：钓鱼网站都会记录访客数据并保存到外部站点。黑客通过HTTPGET请求将站点访问者信息记录到外部域，发送请求的域名虽不同但是请求的API?接口都为“/postAddr.php”。一般格式为“https://nserva.live/postAddr.php??mmAddr=......&accessTime=xxx&url=evil.site”，其中参数mmAddr记录访客的钱包地址，accessTime记录访客的访问时间，url记录访客当前所访问的钓鱼网站链接。

慢雾：Quixotic黑客盗取约22万枚OP，跨链至BNB Chain后转入Tornado Cash:7月1日消息，据慢雾分析，Quixotic黑客盗取了大约22万枚OP（约11.9万美元），然后将其兑换成USDC并跨链到BNB Chain，之后将其兑换成BNB并转入Tornado Cash。[2022/7/1 1:44:55]

特征二：钓鱼网站会请求一个NFT项目价目表，通常HTTP的请求路径为“getPriceData.php”：

特征三：存在一个链接图像到目标项目的文件“imgSrc.js”，包含目标站点列表和在其相应网络钓鱼站点上使用的图像文件的托管位置，这个文件可能是钓鱼网站模板的一部分。

进一步分析发现APT用于监控用户请求的主要域名为“thedoodles.site”，此域名在APT活动早期主要用来记录用户数据：

慢雾：AToken钱包疑似遭受攻击 用户反馈钱包中资产被盗:据慢雾区情报，近期 AToken 钱包(atoken.com)疑似遭受到攻击，用户在使用 AToken 钱包后，币被偷偷转移走。目前已经有较多的用户反馈钱包中的资产被盗。AToken 钱包官方推特在2021年12月20日发布了停止运营的声明。官方 TG 频道中也有多位用户反馈使用 AToken 钱包资产被盗了，但是并没有得到 AToken 团队的回复和处理。

如果有使用 AToken 钱包的用户请及时转移资产到安全的钱包中。具体可以参考如下操作：

1. 立即将 AToken 钱包中的相关的资产转移到新的钱包中。

2. 废弃导入 AToken 或者使用 AToken 生成的助记词或私钥的钱包。

3. 参考慢雾安全团队梳理的数字资产安全解决方案，对数字资产进行妥善的管理。

4. 留存相应有问题的 AToken 钱包 APP 的安装包，用于后续可能需要的取证等操作。

5. 如果资产已经被盗，可以先梳理被盗事件的时间线，以及黑客的相关地址 MistTrack 可以协助挽回可能的一线希望。[2022/2/9 9:39:46]

查询该域名的HTTPS证书启用时间是在7个月之前，黑客组织已经开始实施对NFT用户对攻击。

动态 | 慢雾：2020年加密货币勒索蠕虫已勒索到 8 笔比特币:慢雾科技反(AML)系统监测：世界最早的知名加密货币勒索蠕虫 WannaCry 还在网络空间中苟延残喘，通过对其三个传播版本的行为分析，其中两个最后一次勒索收到的比特币分别是 2019-04-22 0.0584 枚，2019-09-01 0.03011781 枚，且 2019 年仅发生一次，另外一个 2020 还在活跃，2020 开始已经勒索收到 8 笔比特币支付，但额度都很低 0.0001-0.0002 枚之间。这三个传播版本第一次发生的比特币收益都是在 2017-05-12，总收益比特币 54.43334953 枚。虽然收益很少，但 WannaCry 可以被认为是加密货币历史上勒索作恶的鼻主蠕虫，其传播核心是 2017-04-13 NSA 方程式组织被 ShdowBrokers(影子经纪人) 泄露第三批网络军火里的“永恒之蓝”(EternalBlue)漏洞，其成功的全球影响力且匿名性为之后的一系列勒索蠕虫（如 GandCrab）带来了巨大促进。[2020/2/23]

最后来看下黑客到底运行和部署了多少个钓鱼站点：

比如最新的站点伪装成世界杯主题：

继续根据相关的HTTPS证书搜索得到相关的网站主机信息：

在一些主机地址中发现了黑客使用的各种攻击脚本和统计受害者信息的txt文件。

这些文件记录了受害者访问记录、授权情况、使用插件钱包的情况：

可以发现这些信息跟钓鱼站点采集的访客数据相吻合。

其中还包括受害者approve记录：

以及签名数据sigData等，由于比较敏感此处不进行展示。

另外，统计发现主机相同IP下NFT钓鱼站群，单独一个IP下就有372个NFT钓鱼站点：

另一个IP下也有320个NFT钓鱼站群：

甚至包括朝鲜黑客在经营的一个DeFi平台：

由于篇幅有限，此处不再赘述。

NFT零元购钓鱼》文章，我们对此次钓鱼事件的核心代码进行了分析。我们发现黑客钓鱼涉及到WETH、USDC、DAI、UNI等多个地址协议。

下面代码用于诱导受害者进行授权NFT、ERC?20等较常见的钓鱼Approve操作：

除此之外，黑客还会诱导受害者进行Seaport、Permit等签名。

下面是这种签名的正常样例，只是在钓鱼网站中不是“opensea.io”这个域名。

我们在黑客留下的主机也发现了这些留存的签名数据和“Seaport”的签名数据特征一致。

由于这类型的签名请求数据可以“离线存储”，黑客在拿到大量的受害者签名数据后批量化的上链转移资产。

进行分析。

可以看到这个地址已被MistTrack标记为高风险钓鱼地址，交易数也还挺多。钓鱼者共收到1055个NFT，售出后获利近300ETH。

往上溯源，该地址的初始资金来源于地址转入的4.97ETH。往下溯源，则发现该地址有与其他被MistTrack标记为风险的地址有交互，以及有5.7ETH转入了FixedFloat。

再来分析下初始资金来源地址，目前收到约6.5ETH。初始资金来源于Binance转入的1.433ETH。

同时，该地址也是与多个风险地址进行交互。

总结

由于保密性和隐私性，本文仅针对其中一部分?NFT?钓鱼素材进行分析，并提炼出朝鲜黑客的部分钓鱼特征，当然，这只是冰山一角。慢雾在此建议，用户需加强对安全知识的了解，进一步强化甄别网络钓鱼攻击的能力等，避免遭遇此类攻击。更多的安全知识建议阅读慢雾出品的《区块链黑暗森林自救手册》。

Ps.感谢hip、ScamSniffer提供的支持。

相关链接：

https://www.prevailion.com/what-wicked-webs-we-unweave

https://twitter.com/PhantomXSec/status/1566219671057371136?

https://twitter.com/evilcos/status/1603969894965317632?

原文链接

标签：NFTATOTOKEKENAVASTR Vault (NFTX)stratos币挖矿OG Fan TokenDopex Rebate Token

XRP热门资讯