Hackerii Exploatează Capitalul Radiant cu Malware, $50M Furați într-un Jaf

Un PDF infectat cu malware trimis inginerilor de la Radiant Capital a permis hackerilor nord-coreeni să fure peste 50 de milioane de dolari.

Într-un raport de urmărire recent asupra breșei, Radiant, asistată de Mandiant, a dezvăluit detalii suplimentare. Pe 11 septembrie 2024, un dezvoltator Radiant a primit un mesaj pe Telegram de la un fost contractant impersonat.

Mesajul, presupus a fi de la un fost contractant, includea un link către un PDF comprimat. Pretins a fi legat de un nou proiect de auditare a contractelor inteligente, documentul solicita feedback profesional.

Domeniul asociat cu fișierul ZIP imita convingător site-ul legitim al contractantului, iar cererea părea rutină în cercurile profesionale. Dezvoltatorii schimbă frecvent PDF-uri pentru sarcini precum recenzii juridice sau audituri tehnice, reducând suspiciunile inițiale.

Încredințându-se de sursă, destinatarul a împărtășit fișierul cu colegii, pregătind neintenționat scena pentru furtul cibernetic.

Fără ca echipa Radiant să știe, fișierul ZIP conținea INLETDRIFT, un malware macOS avansat, camuflat în interiorul documentului „legitim”. Odată activat, malware-ul a stabilit un backdoor persistent, folosind un AppleScript rău intenționat.

Designul malware-ului a fost sofisticat, afișând utilizatorilor un PDF convingător, în timp ce opera discret în fundal.

În ciuda practicilor riguroase de securitate cibernetică ale Radiant – incluzând simulări de tranzacții, verificarea sarcinii utile și respectarea procedurilor de operare standard (SOPs) specifice industriei – malware-ul a reușit să infiltreze și să compromită mai multe dispozitive de dezvoltare.

Atacatorii au exploatat semnarea oarbă și au falsificat interfețele front-end, afișând date de tranzacții inofensive pentru a masca activitățile malefice. Ca rezultat, tranzacțiile frauduloase au fost executate fără a fi detectate.

În pregătirea jafului, atacatorii au pregătit contracte inteligente rău-intenționate pe mai multe platforme, inclusiv Arbitrum, Binance Smart Chain, Base și Ethereum. La doar trei minute după furt, aceștia au șters urmele ușilor lor secrete și ale extensiilor de browser.

Jaful a fost executat cu precizie: doar trei minute după transferarea fondurilor furate, atacatorii au șters urmele backdoor-ului lor și extensiilor de browser asociate, complicând și mai mult analiza forenzsică.

Mandiant atribuie atacul grupului UNC4736, cunoscut și sub numele de AppleJeus sau Citrine Sleet, un grup legat de Biroul General de Recunoaștere (RGB) al Coreei de Nord. Acest incident evidențiază vulnerabilitățile în semnarea oarbă și verificările de la nivelul front-end-ului, subliniind necesitatea urgentă a soluțiilor la nivel de hardware pentru a valida sarcinile de lucru ale tranzacțiilor.

Radiant colaborează cu forțele de ordine din SUA, Mandiant și zeroShadow pentru a îngheța activele furate. DAO rămâne angajat în sprijinirea eforturilor de recuperare și în împărtășirea perspectivelor pentru a îmbunătăți standardele de securitate la nivel de industrie.