Хакеры используют уязвимости Radiant Capital, используя вредоносное ПО, украдено $50 млн в ограблении

Зараженный вредоносным ПО PDF-файл, отправленный инженерам Radiant Capital, позволил хакерам из Северной Кореи украсть более 50 миллионов долларов.

В недавнем дополнительном отчете о нарушении, Radiant с помощью Mandiant раскрыла дополнительные подробности. 11 сентября 2024 года разработчик из Radiant получил сообщение в Telegram от человека, выдающего себя за бывшего подрядчика.

Сообщение, предположительно от бывшего подрядчика, содержало ссылку на заархивированный PDF-файл. Предположительно связанный с новым проектом по аудиту умных контрактов, документ искал профессиональную обратную связь.

Домен, связанный с ZIP-файлом, убедительно имитировал легитимный веб-сайт подрядчика, и запрос выглядел обыденным в профессиональных кругах. Разработчики часто обмениваются PDF-файлами для задач, таких как юридический обзор или технический аудит, что снижает начальное подозрение.

Доверяя источнику, получатель поделился файлом с коллегами, невольно подготавливая почву для кибер-грабежа.

Незаметно для команды Radiant, ZIP-файл содержал INLETDRIFT, продвинутое macOS-вредоносное ПО, замаскированное в «легитимном» документе. После активации, вредоносное ПО установило постоянный обратный канал, используя вредоносный AppleScript.

Дизайн вредоносного ПО был изощренным, демонстрируя пользователю убедительный PDF, в то время как работал скрытно в фоновом режиме.

Несмотря на строгие практики по кибербезопасности в компании Radiant, включающие симуляции операций, проверку нагрузки и соблюдение стандартных операционных процедур (SOPs) промышленности, вредоносное ПО успешно проникло и нарушило работу нескольких разработчиков устройств.

Атакующие использовали слепую подпись и подделали интерфейсы переднего плана, отображая безвредные данные транзакций для маскировки злонамеренной активности. В результате мошеннические операции были выполнены без обнаружения.

Подготавливаясь к ограблению, злоумышленники разместили злонамеренные смарт-контракты на нескольких платформах, включая Arbitrum, Binance Smart Chain, Base и Ethereum. Буквально через три минуты после кражи, они стерли следы своего «заднего входа» и браузерных расширений.

Ограбление было проведено с точностью: всего через три минуты после перевода украденных средств, злоумышленники удалили следы своего бэкдора и связанных с ним расширений браузера, что еще больше усложнило проведение судебно-технической экспертизы.

Mandiant связывает эту атаку с UNC4736, также известной как AppleJeus или Citrine Sleet, группой, связанной с Главным разведывательным управлением (RGB) Северной Кореи. Этот инцидент подчеркивает уязвимости в слепом подписании и верификации на фронт-энде, акцентируя внимание на срочной необходимости решений на уровне оборудования для проверки полезной нагрузки транзакций.

Radiant сотрудничает с правоохранительными органами США, Mandiant и zeroShadow для блокирования украденных активов. DAO продолжает поддерживать усилия по восстановлению и делиться своими знаниями для улучшения стандартов безопасности во всей отрасли.