NBS:慢雾：朝鲜APT组织对NFT用户大规模钓鱼事件分析_BSPT

9 月 4 日，推特用户 Phantom X 发推称朝鲜 APT 组织针对数十个 ETH 和 SOL 项目进行大规模的网络钓鱼活动。

（https://twitter.com/PhantomXSec/status/1566219671057371136 ）

该推特用户给出了 196 个钓鱼域名信息，分析后关联到朝鲜黑客相关信息，具体的域名列表如下：

（https://pastebin.com/UV 9 pJN 2 M）

慢雾安全团队注意到该事件并第一时间跟进深入分析：

（https://twitter.com/IM_ 23 pds/status/1566258373284093952 ）

由于朝鲜黑客针对加密货币行业的攻击模型多样化，我们披露的也只是冰山一角，因为一些保密的要求，本篇文章也仅针对其中一部分钓鱼素材包括相关钓鱼钱包地址进行分析。这里将重点针对 NFT 钓鱼进行分析。

慢雾：针对macOS系统恶意软件RustBucket窃取系统信息:金色财经报道，SlowMist发布安全警报，针对macOS 运行系统的 Rust 和 Objective-C 编写的恶意软件RustBucket，感染链由一个 macOS 安装程序组成，该安装程序安装了一个带后门但功能正常的 PDF 阅读器。然后伪造的 PDF 阅读器需要打开一个特定的 PDF 文件，该文件作为触发恶意活动的密钥。[2023/5/23 15:20:27]

经过深入分析，发现此次钓鱼的其中一种方式是发布虚假 NFT 相关的、带有恶意 Mint 的诱饵网站，这些 NFT 在 OpenSea、X2Y2 和 Rarible 等平台上都有出售。此次 APT 组织针对 Crypto 和 NFT 用户的钓鱼涉及将近 500 多个域名。

查询这些域名的注册相关信息，发现注册日期最早可追溯到 7 个月前：

同时我们也发现朝鲜黑客常使用的一些独有的钓鱼特征：

特征一：钓鱼网站都会记录访客数据并保存到外部站点。黑客通过 HTTP GET 请求将站点访问者信息记录到外部域，发送请求的域名虽不同但是请求的 API  接口都为 “/postAddr.php”。一般格式为 “https://nserva.live/postAddr.php? mmAddr=...[Metamask]...&accessTime=xxx&url=evil.site”，其中参数 mmAddr 记录访客的钱包地址，accessTime 记录访客的访问时间，url 记录访客当前所访问的钓鱼网站链接。

慢雾：共享Apple ID导致资产被盗核心问题是应用没有和设备码绑定:5月19日消息，慢雾首席信息安全官23pds发推表示，针对共享Apple ID导致资产被盗现象，核心问题是应用没有和设备码绑定，目前99%的钱包、交易App等都都存在此类问题，没有绑定就导致数据被拖走或被恶意同步到其他设备导致被运行，攻击者在配合其他手法如社工、爆破等获取的密码，导致资产被盗。23pds提醒用户不要使用共享Apple ID等，同时小心相册截图被上传出现资产损失。[2023/5/19 15:13:08]

特征二：钓鱼网站会请求一个 NFT 项目价目表，通常 HTTP 的请求路径为 “getPriceData.php”：

特征三：存在一个链接图像到目标项目的文件 “imgSrc.js”，包含目标站点列表和在其相应网络钓鱼站点上使用的图像文件的托管位置，这个文件可能是钓鱼网站模板的一部分。

进一步分析发现 APT 用于监控用户请求的主要域名为 “thedoodles.site”，此域名在 APT 活动早期主要用来记录用户数据：

慢雾：警惕 Terra 链上项目被恶意广告投放钓鱼风险:据慢雾区情报，近期 Terra 链上部分用户的资产被恶意转出。慢雾安全团队发现从 4 月 12 日开始至 4 月 21 日约有 52 个地址中的资金被恶意转出至 terra1fz57nt6t3nnxel6q77wsmxxdesn7rgy0h27x30 中，当前总损失约 431 万美金。

经过慢雾安全追踪分析确认，此次攻击为批量谷歌关键词广告投放钓鱼，用户在谷歌搜索如：astroport，nexus protocol，anchor protocol 等这些知名的 Terra 项目，谷歌结果页第一条看似正常的广告链接（显示的域名甚至是一样的）实为钓鱼网站。 一旦用户不注意访问此钓鱼网站，点击连接钱包时，钓鱼网站会提醒直接输入助记词，一旦用户输入并点击提交，资产将会被攻击者盗取。

慢雾安全团队建议 Terra 链上用户保持警惕不要随便点击谷歌搜索出来的链接或点击来历不明的链接，减少使用常用钱包进行非必要的操作，避免不必要的资损。[2022/4/21 14:37:55]

查询该域名的 HTTPS 证书启用时间是在 7 个月之前，黑客组织已经开始实施对 NFT 用户对攻击。

慢雾：Spartan Protocol被黑简析:据慢雾区情报，币安智能链项目 Spartan Protocol 被黑，损失金额约 3000 万美元，慢雾安全团队第一时间介入分析，并以简讯的形式分享给大家参考：

1. 攻击者通过闪电贷先从 PancakeSwap 中借出 WBNB；

2. 在 WBNB-SPT1 的池子中，先使用借来的一部分 WBNB 不断的通过 swap 兑换成 SPT1，导致兑换池中产生巨大滑点；

3. 攻击者将持有的 WBNB 与 SPT1 向 WBNB-SPT1 池子添加流动性获得 LP 凭证，但是在添加流动性的时候存在一个滑点修正机制，在添加流动性时将对池的滑点进行修正，但没有限制最高可修正的滑点大小，此时添加流动性，由于滑点修正机制，获得的 LP 数量并不是一个正常的值；

4. 随后继续进行 swap 操作将 WBNB 兑换成 SPT1，此时池子中的 WBNB 增多 SPT1 减少；

5. swap 之后攻击者将持有的 WBNB 和 SPT1 都转移给 WBNB-SPT1 池子，然后进行移除流动性操作；

6. 在移除流动性时会通过池子中实时的代币数量来计算用户的 LP 可获得多少对应的代币，由于步骤 5，此时会获得比添加流动性时更多的代币；

7. 在移除流动性之后会更新池子中的 baseAmount 与 tokenAmount，由于移除流动性时没有和添加流动性一样存在滑点修正机制，移除流动性后两种代币的数量和合约记录的代币数量会存在一定的差值；

8. 因此在与实际有差值的情况下还能再次添加流动性获得 LP，此后攻击者只要再次移除流动性就能再次获得对应的两种代币；

9. 之后攻击者只需再将 SPT1 代币兑换成 WBNB，最后即可获得更多的 WBNB。详情见原文链接。[2021/5/2 21:17:59]

最后来看下黑客到底运行和部署了多少个钓鱼站点：

声音 | 慢雾：使用中心化数字货币交易所及钱包的用户注意撞库攻击:据慢雾消息，近日，注意到撞库攻击导致用户数字货币被盗的情况，具体原因在于用户重复使用了已泄露的密码或密码通过撞库攻击的“密码生成基本算法”可以被轻易猜测，同时用户在这些中心化服务里并未开启双因素认证。分析认为，被盗用户之所以没开启双因素认证是以为设置了独立的资金密码就很安全，但实际上依赖密码的认证体系本身就不是个足够靠谱的安全体系，且各大中心化数字货币交易所及钱包在用户账号风控体系的策略不一定都一致，这种不一致可能导致用户由于“惯性思维”而出现安全问题。[2019/3/10]

比如最新的站点伪装成世界杯主题：

继续根据相关的 HTTPS 证书搜索得到相关的网站主机信息：

在一些主机地址中发现了黑客使用的各种攻击脚本和统计受害者信息的 txt 文件。

这些文件记录了受害者访问记录、授权情况、使用插件钱包的情况：

可以发现这些信息跟钓鱼站点采集的访客数据相吻合。

其中还包括受害者 approve 记录：

以及签名数据 sigData 等，由于比较敏感此处不进行展示。

另外，统计发现主机相同 IP 下 NFT 钓鱼站群，单独一个 IP 下就有 372 个 NFT 钓鱼站点：

另一个 IP 下也有 320 个 NFT 钓鱼站群：

甚至包括朝鲜黑客在经营的一个 DeFi 平台：

由于篇幅有限，此处不再赘述。

结合之前文章，我们对此次钓鱼事件的核心代码进行了分析。我们发现黑客钓鱼涉及到 WETH、USDC、DAI、UNI 等多个地址协议。

下面代码用于诱导受害者进行授权 NFT、ERC 20 等较常见的钓鱼 Approve 操作：

除此之外，黑客还会诱导受害者进行 Seaport、Permit 等签名。

下面是这种签名的正常样例，只是在钓鱼网站中不是 “opensea.io” 这个域名。

我们在黑客留下的主机也发现了这些留存的签名数据和 “Seaport” 的签名数据特征一致。

由于这类型的签名请求数据可以“离线存储”，黑客在拿到大量的受害者签名数据后批量化的上链转移资产。

对钓鱼网站及手法分析后，我们选取其中一个钓鱼地址（0xC0fd...e0ca）进行分析。

可以看到这个地址已被 MistTrack 标记为高风险钓鱼地址，交易数也还挺多。钓鱼者共收到 1055 个 NFT，售出后获利近 300 ETH。

往上溯源，该地址的初始资金来源于地址（0 x 2 e 0 a...DA 82 ）转入的 4.97 ETH。往下溯源，则发现该地址有与其他被 MistTrack 标记为风险的地址有交互，以及有 5.7 ETH 转入了 FixedFloat。

再来分析下初始资金来源地址（0 x 2 e 0 a...DA 82 ），目前收到约 6.5 ETH。初始资金来源于 Binance 转入的 1.433 ETH。

同时，该地址也是与多个风险地址进行交互。

由于保密性和隐私性，本文仅针对其中一部分 NFT 钓鱼素材进行分析，并提炼出朝鲜黑客的部分钓鱼特征，当然，这只是冰山一角。慢雾在此建议，用户需加强对安全知识的了解，进一步强化甄别网络钓鱼攻击的能力等，避免遭遇此类攻击。

Ps. 感谢 hip、ScamSniffer 提供的支持。

相关链接：

https://www.prevailion.com/what-wicked-webs-we-unweave

https://twitter.com/PhantomXSec/status/1566219671057371136 

https://twitter.com/evilcos/status/1603969894965317632 

慢雾科技

个人专栏

阅读更多

金色财经 子木

金色早8点

去中心化金融社区

虎嗅科技

区块律动BlockBeats

CertiK中文社区

深潮TechFlow

念青

Odaily星球日报

腾讯研究院

标签：NBSBSPNFTHTTnbs币发行量BSPTFyooz NFTCHTT

聚币热门资讯