Hackare Utnyttjar Radiant Capital Med Skadlig Programvara, $50M Stulna i Kupp

En skadlig PDF skickad till Radiant Capitals ingenjörer möjliggjorde för nordkoreanska hackare att stjäla över $50 miljoner.

I en nyligen publicerad uppföljningsrapport om intrånget, avslöjade Radiant, med hjälp av Mandiant, ytterligare detaljer. Den 11 september 2024 mottog en Radiant-utvecklare ett Telegram-meddelande från en förfalskad tidigare underleverantör.

Meddelandet, påstått från en tidigare entreprenör, inkluderade en länk till en zippad PDF. Påstått relaterad till ett nytt projekt för granskning av smarta kontrakt, sökte dokumentet professionell feedback.

Domänen associerad med ZIP-filen imiterade på ett övertygande sätt entreprenörens legitima webbplats, och förfrågan verkade rutinmässig inom professionella kretsar. Utvecklare utbyter ofta PDF:er för uppgifter som juridiska granskningar eller tekniska revisioner, vilket minskar initial misstänksamhet.

I förtroende för källan delade mottagaren filen med kollegor, omedvetet förberedde detta scenen för det digitala rånet.

Utan att det strålande teamet visste om det, innehöll ZIP-filen INLETDRIFT, ett avancerat macOS skadligt program som var kamouflerat inom det ”legitima” dokumentet. När det aktiverades, etablerade skadprogrammet en ihärdig bakdörr, med hjälp av ett skadligt AppleScript.

Malwarens design var sofistikerat, och visade en övertygande PDF för användarna samtidigt som den arbetade stealthily i bakgrunden.

Trots Radiants rigorösa cybersäkerhetsrutiner – inklusive transaktionssimuleringar, payload-verifiering och efterlevnad av branschstandardiserade driftprocedurer (SOPs) – lyckades malwaren framgångsrikt infiltrera och kompromissa flera utvecklarenheter.

Angriparna utnyttjade blind signering och falska front-end-gränssnitt, och visade oskadlig transaktionsdata för att dölja skadliga aktiviteter. Som ett resultat utfördes bedrägliga transaktioner utan att upptäckas.

Inför kuppen iscensatte angriparna skadliga smarta kontrakt över flera plattformar, inklusive Arbitrum, Binance Smart Chain, Base och Ethereum. Bara tre minuter efter stölden raderade de spår av sin bakdörr och webbläsartillägg.

Rånet genomfördes med precision: bara tre minuter efter överföringen av de stulna pengarna, raderade angriparna spår av deras bakdörr och tillhörande webbläsarextensioner, vilket ytterligare komplicerade den rättsmedicinska analysen.

Mandiant tillskriver attacken till UNC4736, även känd som AppleJeus eller Citrine Sleet, en grupp kopplad till Nordkoreas spaningsgeneraldirektorat (RGB). Denna incident belyser sårbarheterna i blindsignering och front-end-verifieringar, och betonar det brådskande behovet av hårdvarunivå-lösningar för att validera transaktionslast.

Radiant samarbetar med amerikansk brottsbekämpning, Mandiant och zeroShadow för att frysa stulna tillgångar. The DAO förblir engagerade i att stödja återhämtningsinsatser och dela insikter för att förbättra säkerhetsstandarder inom hela branschen.