Хакери Використовують Малваре для Атаки на Radiant Capital, Вкрали $50M у Великому Розбої

PDF-файл, інфікований шкідливим програмним забезпеченням, який був відправлений інженерам Radiant Capital, дозволив хакерам з Північної Кореї викрасти понад 50 мільйонів доларів.

У недавньому додатковому звіті про порушення, Radiant при підтримці Mandiant розкрила додаткові подробиці. 11 вересня 2024 року розробник Radiant отримав повідомлення в Telegram від особи, яка виступала під виглядом колишнього підрядника.

Повідомлення, як стверджують, від колишнього підрядника, містило посилання на архівований PDF. Він, нібито, пов’язаний з новим проектом аудиту розумних контрактів, і в документі прагнули отримати професійний відгук.

Домен, асоційований з ZIP-файлом, переконливо імітував легітимний вебсайт підрядника, і запит здавався звичним у професійних колах. Розробники часто обмінюються PDF-документами для таких завдань, як юридичні огляди або технічні аудити, що зменшує початкові підозри.

Довіряючи джерелу, одержувач поділився файлом з колегами, ненавмисно підготувавши ґрунт для кібер-грабунку.

Невідомо для команди Radiant, ZIP-файл містив INLETDRIFT, передове macOS-зловмисне ПЗ, яке маскувалося під “легітимний” документ. Після активації, зловмисне ПЗ встановило постійний задній хід, використовуючи шкідливий AppleScript.

Дизайн шкідливого програмного забезпечення був розроблений на високому рівні, відображаючи користувачам переконливий PDF, в той час як він приховано працював у фоновому режимі.

Незважаючи на суворі практики кібербезпеки Radiant, які включають моделювання транзакцій, перевірку корисного навантаження та дотримання стандартних процедур галузі (SOPs), шкідливе програмне забезпечення успішно проникло і компрометувало кілька пристроїв розробників.

Атакуючі використовували сліпий підпис та імітацію інтерфейсів вперед, відображаючи безпечні дані про транзакції для приховування шкідливих дій. В результаті, шахрайські транзакції виконувалися без виявлення.

Підготовчи до крадіжки, атакуючі впровадили шкідливі розумні контракти на декількох платформах, включаючи Arbitrum, Binance Smart Chain, Base та Ethereum. Лише за три хвилини після крадіжки вони стерли сліди своєї задньої дверцяти та розширень браузера.

Злочин було вчинено з великою точністю: лише три хвилини після переказу вкрадених коштів, зловмисники знищили сліди свого таємного входу та пов’язаних з ним браузерних розширень, що ще більше ускладнило криміналістичний аналіз.

Mandiant пов’язує цю атаку з UNC4736, які також відомі як AppleJeus або Citrine Sleet, групою, пов’язаною з Головним розвідувальним управлінням (RGB) Північної Кореї. Цей інцидент підкреслює вразливості при сліпому підписанні та верифікації на фронт-енді, акцентуючи термінову потребу в апаратних рішеннях для підтвердження відправлених транзакцій.

Radiant співпрацює з правоохоронними органами США, Mandiant та zeroShadow, щоб заморозити вкрадені активи. DAO продовжує підтримувати зусилля щодо відновлення та ділиться досвідом для поліпшення стандартів безпеки в галузі.