Hackeři Zneužili Radiant Capital pomocí Malwaru, $50M Ukradeno při Loupeži

PDF infikovaný malwarem, které bylo zasláno inženýrům z Radiant Capital, umožnilo severokorejským hackerům ukrást více než 50 milionů dolarů.

V nedávném doprovodném zpravodajství o porušení bezpečnosti, Radiant s pomocí Mandiantu odhalil další detaily. Dne 11. září 2024 obdržel vývojář Radiantu zprávu přes Telegram od někoho, kdo se vydával za bývalého dodavatele.

Zpráva, údajně od bývalého dodavatele, obsahovala odkaz na zazipovaný PDF soubor. Údajně souvisela s novým projektem na audit chytrých kontraktů a dokument požadoval odbornou zpětnou vazbu.

Doména spojená se ZIP souborem přesvědčivě napodobovala legitimní webové stránky dodavatele a požadavek vypadal běžně v profesionálních kruzích. Vývojáři často vyměňují PDF soubory pro úkoly jako právní přezkoumání nebo technické audity, což snižuje počáteční podezření.

Důvěřujíc příjemce zdroji, sdílel soubor se svými kolegy, čímž nevědomky připravil půdu pro kybernetickou loupež.

Bez vědomí týmu Radiant obsahoval ZIP soubor INLETDRIFT, pokročilý malware pro macOS, který byl maskován v „legitimním“ dokumentu. Jakmile byl malware aktivován, vytvořil trvalý zadní vchod pomocí škodlivého AppleScriptu.

Design škodlivého softwaru byl sofistikovaný, uživatelům zobrazoval přesvědčivý PDF dokument, zatímco v pozadí operoval nenápadně.

Navzdory přísným kybernetickým bezpečnostním postupům společnosti Radiant – včetně simulací transakcí, ověřování nákladu a dodržování standardních operačních postupů (SOP) průmyslového standardu – se škodlivý software úspěšně infiltrál a ohrozil několik vývojářských zařízení.

Útočníci zneužili slepé podepisování a falšovali rozhraní na straně klienta, aby zobrazovali neškodné transakční údaje a maskovali tak své škodlivé aktivity. V důsledku toho byly prováděny podvodné transakce bez detekce.

Při přípravě na loupež umístili útočníci škodlivé chytré smlouvy na více platforem, včetně Arbitrum, Binance Smart Chain, Base a Ethereum. Pouhé tři minuty po krádeži vymazali stopy své zadní vrátka a prohlížečových rozšíření.

Loupež byla provedena s přesností: pouhé tři minuty po převedení ukradených peněz útočníci vymazali stopy svého zadního vchodu a přidružených rozšíření prohlížeče, což dále komplikovalo forenzní analýzu.

Mandiant připisuje útok UNC4736, také známé jako AppleJeus nebo Citrine Sleet, skupině spojené s Severokorejskou všeobecnou průzkumnou agenturou (RGB). Tento incident zdůrazňuje zranitelnosti v slepém podepisování a ověřování na úrovni front-endu, což zdůrazňuje naléhavou potřebu řešení na úrovni hardware pro ověření nákladů transakce.

Radiant spolupracuje s americkými vymahači práva, Mandiantem a zeroShadow, aby zmrazila ukradené aktiva. DAO zůstává odhodláno podporovat snahy o obnovu a sdílet poznatky ke zlepšení bezpečnostních standardů celého průmyslu.