Hackare Utnyttjar Radiant Capital Med Skadlig Programvara, $50M Stulna i Kupp

Image by Freepik

Hackare Utnyttjar Radiant Capital Med Skadlig Programvara, $50M Stulna i Kupp

Lästid: 3 min

En skadlig PDF skickad till Radiant Capitals ingenjörer möjliggjorde för nordkoreanska hackare att stjäla över $50 miljoner.

Har bråttom? Här är de snabba fakta!

  • Radiant Capital led ett 50 miljoner dollar förlust i en cyberattack den 16 oktober 2024.
  • Angriparna utgav sig för att vara en tidigare underleverantör, levererade skadlig programvara genom ett förfalskat Telegram-meddelande.
  • Skadlig programvara möjliggjorde skadliga transaktioner medan den visade ofarliga data i Radiant’s front-end gränssnitt.

I en nyligen publicerad uppföljningsrapport om intrånget, avslöjade Radiant, med hjälp av Mandiant, ytterligare detaljer. Den 11 september 2024 mottog en Radiant-utvecklare ett Telegram-meddelande från en förfalskad tidigare underleverantör.

Meddelandet, påstått från en tidigare entreprenör, inkluderade en länk till en zippad PDF. Påstått relaterad till ett nytt projekt för granskning av smarta kontrakt, sökte dokumentet professionell feedback.

Domänen associerad med ZIP-filen imiterade på ett övertygande sätt entreprenörens legitima webbplats, och förfrågan verkade rutinmässig inom professionella kretsar. Utvecklare utbyter ofta PDF:er för uppgifter som juridiska granskningar eller tekniska revisioner, vilket minskar initial misstänksamhet.

I förtroende för källan delade mottagaren filen med kollegor, omedvetet förberedde detta scenen för det digitala rånet.

Utan att det strålande teamet visste om det, innehöll ZIP-filen INLETDRIFT, ett avancerat macOS skadligt program som var kamouflerat inom det ”legitima” dokumentet. När det aktiverades, etablerade skadprogrammet en ihärdig bakdörr, med hjälp av ett skadligt AppleScript.

Malwarens design var sofistikerat, och visade en övertygande PDF för användarna samtidigt som den arbetade stealthily i bakgrunden.

Trots Radiants rigorösa cybersäkerhetsrutiner – inklusive transaktionssimuleringar, payload-verifiering och efterlevnad av branschstandardiserade driftprocedurer (SOPs) – lyckades malwaren framgångsrikt infiltrera och kompromissa flera utvecklarenheter.

Angriparna utnyttjade blind signering och falska front-end-gränssnitt, och visade oskadlig transaktionsdata för att dölja skadliga aktiviteter. Som ett resultat utfördes bedrägliga transaktioner utan att upptäckas.

Inför kuppen iscensatte angriparna skadliga smarta kontrakt över flera plattformar, inklusive Arbitrum, Binance Smart Chain, Base och Ethereum. Bara tre minuter efter stölden raderade de spår av sin bakdörr och webbläsartillägg.

Rånet genomfördes med precision: bara tre minuter efter överföringen av de stulna pengarna, raderade angriparna spår av deras bakdörr och tillhörande webbläsarextensioner, vilket ytterligare komplicerade den rättsmedicinska analysen.

Mandiant tillskriver attacken till UNC4736, även känd som AppleJeus eller Citrine Sleet, en grupp kopplad till Nordkoreas spaningsgeneraldirektorat (RGB). Denna incident belyser sårbarheterna i blindsignering och front-end-verifieringar, och betonar det brådskande behovet av hårdvarunivå-lösningar för att validera transaktionslast.

Radiant samarbetar med amerikansk brottsbekämpning, Mandiant och zeroShadow för att frysa stulna tillgångar. The DAO förblir engagerade i att stödja återhämtningsinsatser och dela insikter för att förbättra säkerhetsstandarder inom hela branschen.

Var den här artikeln hjälpsam?
Betygsätt den!
Riktigt usel Halvdålig Helt ok Riktigt bra! Älskade den!

Vad kul att du gillar vårt arbete!

Skulle du, som vår uppskattade läsare, vilja uppmärksamma oss på Trustpilot? Det går snabbt och betyder jättemycket för oss. Tack för att du är så fantastisk!

Betygsätt oss på Trustpilot
5.00 Betygsatt av 1 användare
Titel
Kommentera
Tack för din feedback
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

Lämna en kommentar

Loader
Loader Visa mer...