Hackere utnytter Radiant Capital med skadevare, $50M stjålet i kupp

En skadevareinfisert PDF sendt til Radiant Capital-ingeniører gjorde det mulig for nordkoreanske hackere å stjele over 50 millioner dollar.

I en nylig oppfølgingsrapport om bruddet, avslørte Radiant, med hjelp fra Mandiant, flere detaljer. Den 11. september 2024 mottok en Radiant-utvikler en Telegram-melding fra en som utga seg for å være en tidligere kontraktør.

Meldingen, angivelig fra en tidligere entreprenør, inneholdt en lenke til en zippet PDF. Angivelig relatert til et nytt prosjekt for revisjon av smartkontrakter, søkte dokumentet profesjonell tilbakemelding.

Domenet som var knyttet til ZIP-filen etterlignet overbevisende entreprenørens legitime nettside, og forespørselen virket rutinemessig i profesjonelle kretser. Utviklere utveksler ofte PDFer for oppgaver som juridiske vurderinger eller tekniske revisjoner, noe som reduserte den innledende mistanken.

Stolende på kilden delte mottakeren filen med kollegaene sine, uten å vite at hun dermed la grunnlaget for det digitale ranet.

Uten at Radiant-teamet visste det, inneholdt ZIP-filen INLETDRIFT, en avansert macOS-malware kamuflert inni det «legitime» dokumentet. Da den ble aktivert, etablerte skadevaren en vedvarende bakdør ved hjelp av et ondsinnet AppleScript.

Malwarens design var sofistikert, og viste en overbevisende PDF til brukere mens den opererte skjult i bakgrunnen.

Til tross for Radiants strenge praksis innen kybersikkerhet – inkludert transaksjonssimuleringer, verifisering av nyttelast og overholdelse av bransjestandard operasjonsprosedyrer (SOPs) – klarte malwaren å infiltrere og kompromittere flere utviklerenheter.

Angriperne utnyttet blind signering og forfalskede front-end grensesnitt, og viste ufarlige transaksjonsdata for å skjule skadelige aktiviteter. Som et resultat ble svindeltransaksjoner utført uten å bli oppdaget.

I forberedelsene til tyveriet, plasserte angriperne skadelige smarte kontrakter på flere plattformer, inkludert Arbitrum, Binance Smart Chain, Base, og Ethereum. Bare tre minutter etter tyveriet, slettet de spor av deres bakdør og nettleserutvidelser.

Ranet ble utført med presisjon: bare tre minutter etter overføring av de stjålne pengene, fjernet angriperne spor av deres bakdør og tilhørende nettleserutvidelser, noe som ytterligere kompliserer rettsmedisinsk analyse.

Mandiant tilskriver angrepet til UNC4736, også kjent som AppleJeus eller Citrine Sleet, en gruppe knyttet til Nord-Koreas etterretningsbyrå (RGB). Denne hendelsen fremhever sårbarhetene ved blind signering og front-end verifiseringer, og understreker det presserende behovet for maskinvareløsninger for å validere transaksjonspayloads.

Radiant samarbeider med amerikansk politi, Mandiant, og zeroShadow for å fryse stjålne eiendeler. DAO forblir forpliktet til å støtte gjenopprettingsarbeid og dele innsikt for å forbedre sikkerhetsstandarder på tvers av bransjen.