背景
背景
背景
9 月2 日,慢霧安全團隊發現疑似APT 團夥針對加密生態的NFT 用戶進行大規模釣魚活動,並發布了《一級標題。
圖片描述
(https://twitter.com/PhantomXSec/status/1566219671057371136 )
圖片描述
(https://pastebin.com/UV 9 pJN 2 M)
圖片描述
(https://twitter.com/IM_ 23 pds/status/1566258373284093952 )
一級標題
釣魚網站分析
經過深入分析,發現此次釣魚的其中一種方式是發布虛假NFT 相關的、帶有惡意Mint 的誘餌網站,這些NFT 在OpenSea、X2Y2 和Rarible 等平台上都有出售。此次APT 組織針對Crypto 和NFT 用戶的釣魚涉及將近500 多個域名。
查詢這些域名的註冊相關信息,發現註冊日期最早可追溯到7 個月前:
同時我們也發現朝鮮黑客常使用的一些獨有的釣魚特徵:
特徵一:釣魚網站都會記錄訪客數據並保存到外部站點。黑客通過HTTP GET 請求將站點訪問者信息記錄到外部域,發送請求的域名雖不同但是請求的API 接口都為“/postAddr.php”。一般格式為“https://nserva.live/postAddr.php? mmAddr=...[Metamask]...accessTime=xxxurl=evil.site”,其中參數mmAddr 記錄訪客的錢包地址,accessTime 記錄訪客的訪問時間,url 記錄訪客當前所訪問的釣魚網站鏈接。
特徵二:釣魚網站會請求一個NFT 項目價目表,通常HTTP 的請求路徑為“getPriceData.php”:
特徵三:存在一個鏈接圖像到目標項目的文件“imgSrc.js”,包含目標站點列表和在其相應網絡釣魚站點上使用的圖像文件的託管位置,這個文件可能是釣魚網站模板的一部分。
進一步分析發現APT 用於監控用戶請求的主要域名為“thedoodles.site”,此域名在APT 活動早期主要用來記錄用戶數據:
查詢該域名的HTTPS 證書啟用時間是在7 個月之前,黑客組織已經開始實施對NFT 用戶對攻擊。
最後來看下黑客到底運行和部署了多少個釣魚站點:
比如最新的站點偽裝成世界杯主題:
繼續根據相關的HTTPS 證書搜索得到相關的網站主機信息:
在一些主機地址中發現了黑客使用的各種攻擊腳本和統計受害者信息的txt 文件。
這些文件記錄了受害者訪問記錄、授權情況、使用插件錢包的情況:
可以發現這些信息跟釣魚站點採集的訪客數據相吻合。
其中還包括受害者approve 記錄:
以及簽名數據sigData 等,由於比較敏感此處不進行展示。
另外,統計發現主機相同IP 下NFT 釣魚站群,單獨一個IP 下就有372 個NFT 釣魚站點:
另一個IP 下也有320 個NFT 釣魚站群:
一級標題
一級標題
釣魚手法分析
結合之前《NFT 零元購釣魚》文章,我們對此次釣魚事件的核心代碼進行了分析。我們發現黑客釣魚涉及到WETH、USDC、DAI、UNI 等多個地址協議。
下面代碼用於誘導受害者進行授權NFT、ERC 20 等較常見的釣魚Approve 操作:
除此之外,黑客還會誘導受害者進行Seaport、Permit 等簽名。
下面是這種簽名的正常樣例,只是在釣魚網站中不是“opensea.io” 這個域名。
MistTrack 分析
一級標題
MistTrack 分析
對釣魚網站及手法分析後,我們選取其中一個釣魚地址(0xC0fd...e0ca)進行分析。
可以看到這個地址已被MistTrack 標記為高風險釣魚地址,交易數也還挺多。釣魚者共收到1055 個NFT,售出後獲利近300 ETH。
往上溯源,該地址的初始資金來源於地址(0 x 2 e 0 a...DA 82 )轉入的4.97 ETH。往下溯源,則發現該地址有與其他被MistTrack 標記為風險的地址有交互,以及有5.7 ETH 轉入了FixedFloat。
總結
總結
總結
由於保密性和隱私性,本文僅針對其中一部分NFT 釣魚素材進行分析,並提煉出朝鮮黑客的部分釣魚特徵,當然,這只是冰山一角。慢霧在此建議,用戶需加強對安全知識的了解,進一步強化甄別網絡釣魚攻擊的能力等,避免遭遇此類攻擊。更多的安全知識建議閱讀慢霧出品的原文鏈接。
原文鏈接
相關鏈接:
https://www.prevailion.com/what-wicked-webs-we-unweave
https://twitter.com/PhantomXSec/status/1566219671057371136
https://twitter.com/evilcos/status/1603969894965317632
