Hakeri iskorištavaju Radiant Capital pomoću zlonamjernog softvera, ukradeno $50M u pljački

PDF zaražen zlonamjernim softverom, poslan inženjerima Radiant Capitala, omogućio je sjevernokorejskim hakerima krađu više od 50 milijuna dolara.

U nedavnom izvješću o nastavku o prekršaju, Radiant uz pomoć Mandianta otkrio je dodatne detalje. Dvanaestog rujna 2024., razvijatelj Radianta primio je poruku preko Telegrama od osobe koja se lažno predstavila kao bivši suradnik.

Poruka, navodno od bivšeg izvođača radova, uključivala je vezu na zipiranu PDF datoteku. Navodno povezan s novim projektom revizije pametnih ugovora, dokument je tražio stručne povratne informacije.

Domena povezana s ZIP datotekom uvjerljivo je oponašala legitimnu web stranicu izvođača radova, a zahtjev je izgledao uobičajeno u profesionalnim krugovima. Programeri često razmjenjuju PDF datoteke za zadatke poput pravnih pregleda ili tehničkih revizija, smanjujući početnu sumnju.

Povjeravajući izvoru, primatelj je podijelio datoteku s kolegama, nehotice postavljajući scenu za cyber pljačku.

Nepoznato Radiant timu, ZIP datoteka sadržavala je INLETDRIFT, napredni macOS zlonamjerni softver kamufliran unutar “legitimnog” dokumenta. Jednom aktiviran, zlonamjerni softver uspostavio je trajni stražnji ulaz, koristeći zlonamjerni AppleScript.

Dizajn zlonamjernog softvera bio je sofisticiran, korisnicima prikazujući uvjerljivi PDF dok je diskretno radio u pozadini.

Unatoč rigoroznim praksama kibernetičke sigurnosti Radianta – uključujući simulacije transakcija, provjeru tereta i pridržavanje industrijskih standardnih operativnih postupaka (SOP) – zlonamjerni softver uspješno je infiltrirao i kompromitirao više uređaja developera.

Napadači su iskoristili slijepo potpisivanje i lažirane sučelja front-enda, prikazujući benigni transakcijski podaci kako bi prikrili zlonamjerne aktivnosti. Kao rezultat, fraudulente transakcije izvršene su bez otkrivanja.

U pripremi za pljačku, napadači su postavili zlonamjerne pametne ugovore na više platformi, uključujući Arbitrum, Binance Smart Chain, Base i Ethereum. Samo tri minute nakon krađe, izbrisali su tragove svog stražnjeg ulaza i proširenja preglednika.

Pljačka je izvedena s preciznošću: samo tri minute nakon prijenosa ukradenih sredstava, napadači su izbrisali tragove svog backdoora i povezanih ekstenzija preglednika, dodatno otežavajući forenzičku analizu.

Mandiant pripisuje napad UNC4736, poznatim i kao AppleJeus ili Citrine Sleet, grupi povezanoj s Sjevernokorejskim generalnim odjelom za izviđanje (RGB). Ovaj incident ističe ranjivosti u slijepom potpisivanju i verifikacijama na front-endu, naglašavajući hitnu potrebu za rješenjima na razini hardvera za provjeru transakcijskih tereta.

Radiant surađuje s američkim organima provođenja zakona, Mandiantom i zeroShadowom kako bi zamrznuli ukrivljenu imovinu. DAO ostaje posvećen podršci naporima oporavka i dijeljenju uvida kako bi se poboljšali sigurnosni standardi cijele industrije.