晚雾:朝鲜APT组织就NFT用户年夜范围尼龙问题进行了澄清

背景9月4日，推特用户Phantom X发推特称，朝鲜的APT结构将对几十个ETH和SOL项目收集大范围的钓鱼振动。

(https://Twitter.com/phantom xsec/status/1566219671057371136 )

该推特用户提供196个钓鱼域名信息，分解后提供朝鲜黑客的相关信息，所有域名列表如下：

(https://pastebin.com/UV9pJN2M )

慢雾安全小组注意到了这一点，在临时随访中进行了深入分解：

后天晚上(3359 Twitter.com/im _ 23 PDS/status/1566258373284093952 ) ) ) ) ) ) ) ) ) )。

由于朝鲜黑客应对加密货币行业打击类型的多样化，我们表露的只是冰山一角，出于一些秘密要求，本文仅对中一人的钓鱼素材席卷相关钓鱼钱包进行了分解。 我们对NFT钓鱼分解中心。

phishing网站被彻底分解，发明此次phishing的一种方法是币安登录地址发布带有假NFT相关亲切Mint的诱饵网站。 这些NFT在OpenSea、X2Y2、Rarible等平台上销售。 此次的APT结构面向Crypto和NFT用户，共有约500多个域名。

调查这些域名的挂号相关信息，发明的挂号日期最早可以追溯到7个月前。

此外，他还将发明朝鲜黑客经常使用的独特钓鱼性格。

性格一)钓鱼网站会记录访问者数据，丢失到外部网站。 黑今天早上，客人请求通过HTTP GET将网站的候选人信息记录到外部域。 虽然发送请愿的域名不同，但是发送请愿的API接口都是“/postAddr.php”。 普通花纹是“https://nserva.live/postAddr.php？ mmaddr=. [ meta mask ] . [ accesstime=XXX URL=evil.site ]，个中参数mm addr记录访问者的钱包位置，access time记录访问者的排队等待时间，URL记录访问者的做礼拜时间

性格二：钓鱼网站索取NFT项目价目表。 HTTP的请愿渠道经常是“getPriceData.php”。

性质3 )将图像链接到目的项目的构思文件" imgSrc.js "包括目的网站的列表和收集钓鱼网站利用的图像文件的主机的位置，该文件可能是钓鱼网站的整个模板。

为进一步分解APT监测用户请求而发明的主要域名为“thedoodles.site”，该域名在APT震荡初期主要用于记录用户数据：

堵塞该域名的HTTPS证书的启用时间为7个月前，黑客结构完成后将打击NFT用户。

最终，我们来看看黑客是如何运营和设置了多少个钓鱼网站的。

例如，最新的网站伪装成天下杯的主旨：

根据相关的HTTPS证书连续搜索不相关网站的主机信息。

在一些主机地区，黑客利用的各种打击方案和受害者信息被发明了txt文件。

这些文件记录了受害者的滞留记录、许可情况和插件钱包的使用情况。

发明这些信息可能与钓鱼网站收集的访问者数据一致。

个中还席卷了受害者的approve记录：

脸部数据sigData等因为很尖锐，所以在这里没有公开。

此外，统计发明主机与IP下的NFT网站群不同，零丁一个IP下有372个NFT网站：

另一个IP下也有320个NFT钓鱼站群：

朝鲜黑客正在席卷准备的DeFi平台：

篇幅有限，这里不再赘述。

因为钓鱼技巧贯彻了以前的文章，所以分解了这次钓鱼事件的中间代码。 我们发明了黑客钓鱼接触了WETH、USDC、DAI、UNI等很多地方协议。

上述代码用于授权受害者进行NFT、ERC20等常见钓鱼Approve操作

除此之外，黑客还会引导受害者实施Seaport、Permit等。

上面是这样一个常见的示例，钓鱼网站上没有“opensea.io”的域名。

黑客留下的主机也发明了这些存储器的面部数据和“Seaport”的面部数据的性格统一。

由于这样一个类别的请愿数据可能会被“离线保存”，黑客在慷慨的受害者获取数据后，通过大量的连锁方式转换房产。

MistTrack分解在分解钓鱼网站和技巧后，抽出其中一个钓鱼场所(0xC0fd.e0ca )进行分解吧。

看到这个地方用MistTrack符号成了高喊钓鱼的地方，生意可能也很多。 钓鱼者共收到1055个NFT，销售后获利近300 ETH。

追根溯源，这个地方的初期资金来源于从地方(0x2e0a.DA82 )调入的4.97 ETH。 追根溯源，发明这个地方的是与MistTrack符号告急的其他地方的交流，5.7 ETH转移到了FixedFloat。

分解初始资金的起因地点(0x2e0a.DA82 )，现在收到约6.5 ETH。 初始资金起因于Binance转入的1.433 ETH。

另外，这个地方与多个告急的地方相互作用。

由于总结了机密性和隐私性，本文以NFT钓鱼素材整体为对象进行了分解，提取了朝鲜黑客的整个钓鱼性格，但这只是冰山一角。 慢雾在此提出，用户应加强对安全学识的了解，通过鉴别收集钓鱼打击的才略等，避免受到这样的打击。

回报PS.hip、ScamSniffer的供应支柱。

相干链接：

33559 www.prevail ion.com/what-wicked-webs-we-un weave

3359 Twitter.com/phantom xsec/status/1566219671057371136

3359 Twitter.com/evil cos/status/1603969894965317632