Хакери Експлоатират Radiant Capital с Малуер, Откраднати $50M в Кражба

PDF файл, заразен с вредоносен софтуер, изпратен до инженерите на Radiant Capital, даде възможност на хакери от Северна Корея да откраднат над 50 милиона долара.

В скорошен допълнителен доклад за нарушението, Radiant с помощта на Mandiant разкриха допълнителни подробности. На 11 септември 2024 г., разработчик на Radiant получи съобщение в Telegram от преструващ се бивш подизпълнител.

Съобщението, предполагаемо от бивш подизпълнител, включваше връзка към компресиран PDF. Предполагаемо свързано с нов проект за одитиране на умни договори, документът търсеше професионално мнение.

Домейнът, свързан с ZIP файла, убедително имитираше легитимния уебсайт на подизпълнителя, а заявката изглеждаше рутинна в професионалните среди. Разработчиците често обменят PDF файлове за задачи като правни прегледи или технически одити, което намалява първоначалните съмнения.

Доверявайки на източника, получателят сподели файла с колегите си, без да подозира, че по този начин непреднамерено подготвя сцената за кибер-грабеж.

Без да подозира екипът на Radiant, ZIP файла съдържаше INLETDRIFT, напреднал macOS зловреден софтуер, камуфлиран в „легитимния“ документ. След активиране, зловредният софтуер установи постоянен обратен вход, използвайки злонамерен AppleScript.

Дизайнът на зловредния софтуер беше изключително сложен, показвайки убедителен PDF на потребителите, докато работеше незабележимо във фона.

Въпреки строгите практики на Radiant в областта на киберсигурността – включително симулации на транзакции, проверка на полезното натоварване и спазване на отрасловите стандартни оперативни процедури (SOPs) – зловредният софтуер успешно проникна и компрометира множество устройства на разработчици.

Нападателите използваха слепо подписване и подправени интерфейси на предния край, показвайки безобидни данни за транзакции, за да прикриват злонамерени действия. В резултат на това, измамни транзакции бяха извършвани без откриване.

За подготовката на грабежа, нападателите подготвиха злонамерени смарт договори на множество платформи, включително Arbitrum, Binance Smart Chain, Base и Ethereum. Само три минути след кражбата, те изтриха следите от своята задна врата и браузърни разширения.

Ограбването беше изпълнено с прецизност: само три минути след прехвърлянето на откраднатите средства, нападателите изтриха следите от своята „задна врата“ и свързаните разширения за браузър, което допълнително усложнява ситуацията при форензичния анализ.

Mandiant свързва атаката с UNC4736, известна още като AppleJeus или Citrine Sleet, група свързана с Разузнавателното главно управление (RGB) на Северна Корея. Този инцидент подчертава уязвимостите при слепото подписване и фронт-енд верификациите, което подчертава спешната необходимост от хардуерни решения за валидиране на транзакционните полезни товари.

Radiant сътрудничи със сили за правоприлагане в САЩ, Mandiant и zeroShadow, за да замразят откраднатите активи. DAO продължава да подкрепя усилията за възстановяване и да споделя виждания за подобряване на стандартите за сигурност в цялата индустрия.