Hackere Udnytter Radiant Capital med Malware, $50M Stjålet i Kup

En malware-inficeret PDF sendt til Radiant Capitals ingeniører gjorde det muligt for nordkoreanske hackere at stjæle over $50 millioner.

I en nylig opfølgende rapport om bruddet, afslørede Radiant, med hjælp fra Mandiant, yderligere detaljer. Den 11. september 2024 modtog en Radiant-udvikler en Telegram-besked fra en tidligere entreprenør, der blev udsat for identitetstyveri.

Beskeden, angiveligt fra en tidligere entreprenør, indeholdt et link til en zippet PDF. Den skulle angiveligt være relateret til et nyt smart kontrakt revisionsprojekt, og dokumentet søgte professionel feedback.

Domænet, der var forbundet med ZIP-filen, efterlignede overbevisende entreprenørens legitime hjemmeside, og anmodningen virkede rutinemæssig i professionelle kredse. Udviklere udveksler ofte PDF’er til opgaver som juridiske gennemgange eller tekniske revisioner, hvilket reducerer den oprindelige mistanke.

At stole på kilden delte modtageren filen med kolleger, hvilket uforvarende banede vejen for det digitale indbrud.

Uden Radiant-teamets viden indeholdt ZIP-filen INLETDRIFT, en avanceret macOS-malware camoufleret inden i det “legitime” dokument. Når den blev aktiveret, etablerede malwaren en vedvarende bagdør ved hjælp af et ondsindet AppleScript.

Malwarens design var sofistikeret, idet den viste en overbevisende PDF til brugere, mens den opererede skjult i baggrunden.

På trods af Radiants strenge cybersikkerhedspraksis – herunder transaktionssimuleringer, verificering af payload og overholdelse af branchestandard driftsprocedurer (SOPs) – lykkedes det malwaren at infiltrere og kompromittere flere udviklerenheder.

Angriberne udnyttede blind underskrivning og forfalskede front-end grænseflader, der viste uskadelig transaktionsdata for at skjule ondsindede aktiviteter. Som et resultat blev svigagtige transaktioner udført uden detektering.

I forberedelsen til kupet, iscenesatte angriberne ondsindede smarte kontrakter på tværs af flere platforme, herunder Arbitrum, Binance Smart Chain, Base og Ethereum. Kun tre minutter efter tyveriet, slettede de spor af deres bagdør og browserudvidelser.

Røveriet blev udført med præcision: bare tre minutter efter overførsel af de stjålne midler, slettede angriberne spor af deres bagdør og tilknyttede browserudvidelser, hvilket yderligere komplicerede den retsmedicinske analyse.

Mandiant tilskriver angrebet til UNC4736, også kendt som AppleJeus eller Citrine Sleet, en gruppe knyttet til Nordkoreas Rekognosceringsgeneralkontor (RGB). Denne hændelse fremhæver sårbarhederne i blind underskrift og front-end verifikationer, hvilket understreger det presserende behov for hardware-niveau løsninger til at validere transaktions payloads.

Radiant samarbejder med det amerikanske politi, Mandiant og zeroShadow om at indefryse stjålne aktiver. DAO forbliver forpligtet til at støtte genoprettelsesindsatsen og dele indsigt for at forbedre sikkerhedsstandarder på tværs af branchen.