2024 年 3 月 7 日,联合国安全理事会(United Nations Security Council) 的制裁委员会专家小组发布了一份关于 2023 年朝鲜活动的报告。在这份长达 615 页的报告中,引用了慢雾 AML 团队对 Harmony Bridge、Atomic Wallet、Alphapo、CoinsPaid 和 Poloniex 攻击事件的分析结论。


(https://www.un.org/securitycouncil/zh/sanctions/1718/panel_experts/reports)


这份报告涵盖从 2023 年 7 月 29 日至 2024 年 1 月 26 日的信息,主要包含以下要点:


1. 朝鲜民主主义人民共和国(朝鲜)违反安全理事会决议,继续开展与发展核武器和生产核裂变材料的活动。朝鲜利用弹道导弹技术进行了多次核运载系统试验,并发射了巡航导弹。



2. 朝鲜民主主义人民共和国及其协助者使用多种欺骗和逃避技术,包括篡改船只的位置信息,操纵识别系统,改变船只的外观并进行非法身份交换来逃避海上制裁。有迹象显示,贸易量和奢侈品的进口在增加,如新的机动车辆和奢侈品牌的商品。尽管朝鲜一直面临严重的国际制裁,但各项违规活动仍在继续。



3. 专家小组持续调查被禁运、被指认的个人和实体以及海外工人,其中包括但不限于疑似持续售卖朝鲜制造的设备的公司 Global Communications;据称与支持朝鲜民主主义人民共和国和俄罗斯联邦之间军火交易的逃避制裁网络有关联的公司 Versor S.R.O.;几个涉及朝鲜与其他国家武器或军火交易的案例,包括乌克兰部队使用了朝鲜产的火箭炮系统,疑似朝鲜向俄罗斯提供弹药和火箭等;朝鲜民主主义人民共和国侦察总局下属的网络威胁行为体(Kimsuky、Lazarus 集团、Andariel 和 BlueNoroff 等)持续实施网络攻击,主要目标是获取有价值的信息,非法创收等。





4. 朝鲜民主主义人民共和国通过其海外银行代表,违反安全理事会决议,利用国际金融体系进行非法金融活动。同时,继续将虚拟货币行业作为目标以规避联合国制裁并创收,朝鲜的恶意网络活动为其大规模武器计划提供了约半数的外汇收入。




5. 报告最后指出,虽然朝鲜接受了一些人道主义援助,但仍没有对军事与核问题做出明确决策。同时在该国的金融财力支持下,朝鲜的核导势力正在进一步扩大。


值得注意的是,报告涉及到多个与加密货币相关的内容。据一国家成员的说明,朝鲜利用恶意网络活动,约占其外汇收入的 50%,这些经费被用来资助其武器计划。另一个国家成员报告指出,朝鲜的 40% 的大规模杀灭性武器计划是由非法网络活动提供资金的。在 2017 年至 2023 年期间,朝鲜对加密货币相关的公司发起了 58 起疑似网络攻击,估计损失大约为 30 亿美元。这些资金被认为用于推进国家大规模杀伤性武器的发展。


据报告,朝鲜民主主义人民共和国的恶意网络行为体采用以下模式从加密货币行业相关公司窃取资金:



黑客组织 Lazarus 集团和 BlueNoroff 在多个平台上发起针对加密货币行业员工的网络钓鱼活动,包括对区块链工程师和其他开发人员,目的是侵入公司网络进行后续攻击。此外,朝鲜行为体正在部署复杂的攻击阶段,使用各种防御规避技术,并在不同的平台上上传和托管恶意软件。Lazarus 集团还与一家韩国公司合作散播勒索软件,并从超过 700 名受害者中获得了约 260 万美元的赎金。总的来说,朝鲜侦察总局下属黑客组织仍在持续发动大量网络攻击,其趋势包括以国防公司和供应链为目标,以及越来越多地涉及共享基础设施和工具。



在这份报告的第 539 页,引用了慢雾出品 | 2023 区块链安全与反洗钱年度报告中的数据图,这张图出现在 2023 区块链安全与反洗钱年度报告的黑客组织 Lazarus 集团的画像分析部分。得益于 InMist 情报网络合作伙伴的强大情报支持,慢雾 AML 团队对与 Lazarus 集团相关的多起盗窃事件(如 Atomic Wallet、Alphapo 等)进行了深入的数据追踪和分析,得出了 Lazarus 集团的部分画像,同时在 Coinspaid 热钱包恶意授权提款事件中,分析出 Coinspaid 后续的被盗资金转移与多名 Atomic Wallet 用户的资产被盗和 Alphapo 热钱包被盗事件资金有重合。这些数据都进一步证实了这些盗窃行为可能都与 Lazarus 集团有关。



此外,报告的第 553 页引用了慢雾 AML 团队对 Poloniex 被黑事件的分析。2023 年 11 月 10 日,Poloniex 交易所遭到黑客攻击,造成的损失约为 1.3 亿美元。慢雾 AML 团队认为,从攻击者这种迅速、专业的手法来看,猜测是典型的 APT 攻击,攻击者或为朝鲜黑客组织 Lazarus 集团。在这起攻击事件发生后,慢雾 AML 团队也第一时间介入分析,对总损失、涉及币种、黑客地址等进行分析和统计,并及时将结果共享。



慢雾(SlowMist) 在加密货币反洗钱领域深耕多年,形成了一套完整且高效的解决方案,涵盖了合规、调查与审计三个方面,积极助力构建加密货币健康生态环境,也为 Web3 行业、金融机构、监管单位以及合规部门提供专业服务。


在分析区块链攻击事件中发挥显著作用的 MistTrack 是一个提供钱包地址分析、资金监控、追踪溯源的合规调查平台,目前已积累三亿多个地址标签,一千多个地址实体,50 万 + 威胁情报数据,9000 万 + 风险地址,这些都为确保数字资产的安全性、打击洗钱犯罪提供有力的保护。


最后,如果您的加密货币不幸被盗,我们将免费提供案件评估的社区协助服务,仅需要您按照分类指引(资金被盗/遭遇诈骗/遭遇勒索)提交表单即可。同时,您提交的黑客地址也将同步至 InMist 威胁情报合作网络进行风控。(注:中文表单提交至 https://aml.slowmist.com/cn/recovery-funds.html,英文表单提交至 https://aml.slowmist.com/recovery-funds.html)


往期回顾

Web3 安全入门避坑指南|钱包分类及风险

Web3 的蜕变 —— 2024 香港 Web3 嘉年华完美谢幕!

AssangeDAO 资金转移引发疑问 —— 高调募捐背后潜在的 Rug Pull

每月动态 | Web3 安全事件总损失约 1.39 亿美元

慢雾(SlowMist) 作为白金赞助商,与您相约 2024 香港 Web3 嘉年华!

慢雾导航


慢雾科技官网

https://www.slowmist.com/


慢雾区官网

https://slowmist.io/


慢雾 GitHub

https://github.com/slowmist


Telegram

https://t.me/slowmistteam


Twitter

https://twitter.com/@slowmist_team


Medium

https://medium.com/@slowmist


知识星球

https://t.zsxq.com/Q3zNvvF