Hakerzy Wykorzystują Radiant Capital za pomocą Malware, $50M Skradzione w Napadzie

Zainfekowany malwarem PDF, wysłany do inżynierów z Radiant Capital, umożliwił północnokoreańskim hakerom kradzież ponad 50 milionów dolarów.

W niedawnym raporcie uzupełniającym dotyczącym naruszenia, Radiant z pomocą Mandiant ujawnił więcej szczegółów. 11 września 2024 roku, programista z Radiant otrzymał wiadomość na Telegramie od kogoś udającego byłego kontrahenta.

Wiadomość, rzekomo od byłego kontrahenta, zawierała link do skompresowanego pliku PDF. Ponoć związany z nowym projektem audytu inteligentnych kontraktów, dokument ten szukał profesjonalnej opinii.

Domena związana z plikiem ZIP przekonująco naśladowała prawdziwą stronę internetową kontrahenta, a prośba wydawała się rutynowa w kręgach profesjonalistów. Programiści często wymieniają się plikami PDF do zadań takich jak przeglądy prawne czy audyty techniczne, co początkowo redukuje podejrzenia.

Zaufawszy źródłu, odbiorca udostępnił plik kolegom, nieświadomie przygotowując grunt pod cyber-kradzież.

Nieznanym dla zespołu Radiant, plik ZIP zawierał INLETDRIFT, zaawansowane oprogramowanie malware dla macOS, zamaskowane w „prawdziwym” dokumencie. Po aktywacji, malware utworzyło stałe tylne drzwi, używając złośliwego AppleScript.

Konstrukcja złośliwego oprogramowania była wyrafinowana, wyświetlając użytkownikom przekonujący plik PDF, podczas gdy działała dyskretnie w tle.

Pomimo rygorystycznych praktyk w zakresie cyberbezpieczeństwa stosowanych przez Radiant – w tym symulacji transakcji, weryfikacji ładunku i przestrzegania standardowych procedur operacyjnych (SOP) – złośliwe oprogramowanie z powodzeniem przeniknęło i zainfekowało wiele urządzeń deweloperów.

Napastnicy wykorzystali ślepe podpisywanie i sfałszowane interfejsy front-endowe, wyświetlając nieszkodliwe dane transakcji, aby ukryć złośliwe działania. W rezultacie, fałszywe transakcje zostały przeprowadzone bez wykrycia.

W przygotowaniu do napadu, napastnicy rozmieścili złośliwe umowy inteligentne na wielu platformach, w tym Arbitrum, Binance Smart Chain, Base oraz Ethereum. Zaledwie trzy minuty po kradzieży, usunęli ślady swojego backdooru i rozszerzeń przeglądarki.

Napad został przeprowadzony z precyzją: zaledwie trzy minuty po przelaniu skradzionych funduszy, napastnicy usunęli ślady swojego backdooru i powiązanych rozszerzeń przeglądarki, co dodatkowo skomplikowało analizę kryminalistyczną.

Mandiant przypisuje atak grupie UNC4736, znanej również jako AppleJeus lub Citrine Sleet, związanej z Północnokoreańskim Generalnym Biurem Rozpoznawczym (RGB). Ten incydent podkreśla podatności w podpisach ślepych i weryfikacji front-end, podkreślając pilną potrzebę rozwiązań na poziomie sprzętowym do sprawdzania ładunków transakcji.

Radiant współpracuje z amerykańskimi służbami ścigania, Mandiant i zeroShadow, aby zablokować skradzione aktywa. DAO nadal jest zdecydowane wspierać działania mające na celu odzyskanie straconych zasobów oraz dzielić się wiedzą, która poprawi standardy bezpieczeństwa w całej branży.