慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

慢雾科技｜2022-12-25 9:34

本文僅針對其中一部分NFT釣魚素材進行分析，並提煉出朝鮮黑客的部分釣魚特徵。

By: 山&耀

背景

9 月2 日，慢霧安全團隊發現疑似APT 團伙針對加密生態的NFT 用戶進行大規模釣魚活動，並發布了《“零元購” NFT 釣魚分析》。

9 月4 日，推特用戶Phantom X 發推稱朝鮮APT 組織針對數十個ETH 和SOL 項目進行大規模的網絡釣魚活動。

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

該推特用戶給出了196 個釣魚域名信息，分析後關聯到朝鮮黑客相關信息，具體的域名列表如下：

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

慢霧安全團隊注意到該事件並第一時間跟進深入分析：

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

由於朝鮮黑客針對加密貨幣行業的攻擊模型多樣化，我們披露的也只是冰山一角，因為一些保密的要求，本篇文章也僅針對其中一部分釣魚素材包括相關釣魚錢包地址進行分析。這裡將重點針對NFT 釣魚進行分析。

釣魚網站分析

經過深入分析，發現此次釣魚的其中一種方式是發布虛假NFT 相關的、帶有惡意Mint 的誘餌網站，這些NFT 在OpenSea、X2Y2 和Rarible 等平台上都有出售。此次APT 組織針對Crypto 和NFT 用戶的釣魚涉及將近500 多個域名。

查詢這些域名的註冊相關信息，發現註冊日期最早可追溯到7 個月前：

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

同時我們也發現朝鮮黑客常使用的一些獨有的釣魚特徵：

特徵一：釣魚網站都會記錄訪客數據並保存到外部站點。黑客通過HTTP GET 請求將站點訪問者信息記錄到外部域，發送請求的域名雖不同但是請求的API 接口都為“/postAddr.php”。一般格式為“https://nserva.live/postAddr.php?mmAddr=...[Metamask]...&accessTime=xxx&url=evil.site”，其中參數mmAddr 記錄訪客的錢包地址，accessTime 記錄訪客的訪問時間，url 記錄訪客當前所訪問的釣魚網站鏈接。

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

特徵二：釣魚網站會請求一個NFT 項目價目表，通常HTTP 的請求路徑為“getPriceData.php”：

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

特徵三：存在一個鏈接圖像到目標項目的文件“imgSrc.js”，包含目標站點列表和在其相應網絡釣魚站點上使用的圖像文件的託管位置，這個文件可能是釣魚網站模板的一部分。

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

進一步分析發現APT 用於監控用戶請求的主要域名為“thedoodles.site”，此域名在APT 活動早期主要用來記錄用戶數據：

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

查詢該域名的HTTPS 證書啟用時間是在7 個月之前，黑客組織已經開始實施對NFT 用戶對攻擊。

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

最後來看下黑客到底運行和部署了多少個釣魚站點：

比如最新的站點偽裝成世界杯主題：

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

繼續根據相關的HTTPS 證書搜索得到相關的網站主機信息：

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

在一些主機地址中發現了黑客使用的各種攻擊腳本和統計受害者信息的txt 文件。

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

這些文件記錄了受害者訪問記錄、授權情況、使用插件錢包的情況：

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

可以發現這些信息跟釣魚站點採集的訪客數據相吻合。

其中還包括受害者approve 記錄：

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

以及簽名數據sigData 等，由於比較敏感此處不進行展示。

另外，統計發現主機相同IP 下NFT 釣魚站群，單獨一個IP 下就有372 個NFT 釣魚站點：

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

另一個IP 下也有320 個NFT 釣魚站群：

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

甚至包括朝鮮黑客在經營的一個DeFi 平台：

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

由於篇幅有限，此處不再贅述。

釣魚手法分析

結合之前《NFT 零元購釣魚》文章，我們對此次釣魚事件的核心代碼進行了分析。我們發現黑客釣魚涉及到WETH、USDC、DAI、UNI 等多個地址協議。

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

下面代碼用於誘導受害者進行授權NFT、ERC20 等較常見的釣魚Approve 操作：

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

除此之外，黑客還會誘導受害者進行Seaport、Permit 等簽名。

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

下面是這種簽名的正常樣例，只是在釣魚網站中不是“opensea.io” 這個域名。

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

我們在黑客留下的主機也發現了這些留存的簽名數據和“Seaport” 的簽名數據特徵一致。

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

由於這類型的簽名請求數據可以“離線存儲”，黑客在拿到大量的受害者簽名數據後批量化的上鍊轉移資產。

MistTrack 分析

對釣魚網站及手法分析後，我們選取其中一個釣魚地址（0xC0fd...e0ca）進行分析。

可以看到這個地址已被MistTrack 標記為高風險釣魚地址，交易數也還挺多。釣魚者共收到1055 個NFT，售出後獲利近300 ETH。

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

往上溯源，該地址的初始資金來源於地址（0x2e0a...DA82）轉入的4.97 ETH。往下溯源，則發現該地址有與其他被MistTrack 標記為風險的地址有交互，以及有5.7 ETH 轉入了FixedFloat。

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

再來分析下初始資金來源地址（0x2e0a...DA82），目前收到約6.5 ETH。初始資金來源於Binance 轉入的1.433 ETH。

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

同時，該地址也是與多個風險地址進行交互。

慢霧安全：朝鮮APT組織對NFT用戶大規模釣魚分析

總結

由於保密性和隱私性，本文僅針對其中一部分NFT釣魚素材進行分析，並提煉出朝鮮黑客的部分釣魚特徵，當然，這只是冰山一角。慢霧在此建議，用戶需加強對安全知識的了解，進一步強化甄別網絡釣魚攻擊的能力等，避免遭遇此類攻擊。更多的安全知識建議閱讀慢霧出品的《區塊鏈黑暗森林自救手冊》：https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md

Ps. 感謝hip 、ScamSniffer 提供的支持。