Χάκερς Εκμεταλλεύονται την Radiant Capital Με Κακόβουλο Λογισμικό, $50Εκ Κλαπήκαν σε Ληστεία

Ένα PDF με malware που στάλθηκε στους μηχανικούς της Radiant Capital επέτρεψε σε χάκερς από τη Βόρεια Κορέα να κλέψουν πάνω από 50 εκατομμύρια δολάρια.

Σε μια πρόσφατη επακόλουθη έκθεση για την παραβίαση, η Radiant με την βοήθεια της Mandiant αποκάλυψε περισσότερες λεπτομέρειες. Στις 11 Σεπτεμβρίου 2024, ένας προγραμματιστής της Radiant έλαβε ένα μήνυμα στο Telegram από έναν προσωποποιημένο πρώην εργολάβο.

Το μήνυμα, που φέρεται να προέρχεται από έναν πρώην ανάδοχο, περιελάμβανε έναν σύνδεσμο για ένα συμπιεσμένο PDF. Υποτίθεται ότι σχετίζεται με ένα νέο εγχείρημα ελέγχου έξυπνων συμβολαίων, το έγγραφο αναζητούσε επαγγελματική ανατροφοδότηση.

Ο τομέας που σχετιζόταν με το αρχείο ZIP μιμούταν πειστικά την νόμιμη ιστοσελίδα του αναδόχου, και το αίτημα φαίνονταν ρουτίνα στους επαγγελματικούς κύκλους. Οι προγραμματιστές συχνά ανταλλάσσουν PDF για καθήκοντα όπως νομικές επιθεωρήσεις ή τεχνικοί έλεγχοι, μειώνοντας την αρχική υποψία.

Εμπιστεύοντας την πηγή, ο παραλήπτης μοιράστηκε το αρχείο με τους συναδέλφους του, θέτοντας ανεπίγνωστα τη σκηνή για την κυβερνοεκδήλωση.

Άγνωστο στην ομάδα Radiant, το αρχείο ZIP περιείχε το INLETDRIFT, μια προηγμένη κακόβουλη εφαρμογή macOS που ήταν καμουφλαρισμένη μέσα στο «νόμιμο» έγγραφο. Μόλις ενεργοποιήθηκε, το κακόβουλο λογισμικό δημιούργησε μια μόνιμη παρασκηνιακή πόρτα, χρησιμοποιώντας ένα κακόβουλο AppleScript.

Ο σχεδιασμός του κακόβουλου λογισμικού ήταν εξελιγμένος, παρουσιάζοντας ένα πειστικό PDF στους χρήστες, ενώ λειτουργούσε κρυφά στο παρασκήνιο.

Παρά τις αυστηρές πρακτικές κυβερνοασφάλειας της Radiant – συμπεριλαμβανομένων των προσομοιώσεων συναλλαγών, της επαλήθευσης του payload και της τήρησης των επαγγελματικών διαδικασιών που ακολουθούνται στην βιομηχανία (SOPs) – το κακόβουλο λογισμικό κατάφερε να διεισδύσει και να υπονομεύσει πολλές συσκευές προγραμματιστών.

Οι επιτιθέμενοι εκμεταλλεύτηκαν την τυφλή υπογραφή και παραποίησαν διεπαφές front-end, παρουσιάζοντας ακίνδυνα δεδομένα συναλλαγών για να καλύψουν επιβλαβείς δραστηριότητες. Ως αποτέλεσμα, εκτελέστηκαν απατηλές συναλλαγές χωρίς να εντοπιστούν.

Στο πλαίσιο της προετοιμασίας για τη ληστεία, οι επιτιθέμενοι σχεδίασαν κακόβουλα έξυπνα συμβόλαια σε πολλαπλές πλατφόρμες, συμπεριλαμβανομένων των Arbitrum, Binance Smart Chain, Base και Ethereum. Μόλις τρία λεπτά μετά την κλοπή, διέγραψαν τα ίχνη της πίσω πόρτας τους και των επεκτάσεων του προγράμματος περιήγησης.

Η ληστεία εκτελέστηκε με ακρίβεια: μόλις τρία λεπτά μετά τη μεταφορά των κλοπιμαίων κεφαλαίων, οι επιτιθέμενοι σβήσαν ίχνη της παρασκηνιακής πόρτας τους και των σχετιζόμενων επεκτάσεων του προγράμματος περιήγησης, δυσκολεύοντας περαιτέρω τη δακτυλοσκοπητική ανάλυση.

Η Mandiant αποδίδει την επίθεση στην UNC4736, γνωστή επίσης ως AppleJeus ή Citrine Sleet, μια ομάδα που συνδέεται με το Σώμα Γενικής Αναγνώρισης της Βόρειας Κορέας (RGB). Αυτό το περιστατικό καταδεικνύει τις ευπάθειες στην τυφλή υπογραφή και τις επιβεβαιώσεις front-end, επισημαίνοντας την επείγουσα ανάγκη για λύσεις σε επίπεδο υλικού για την επικύρωση των payloads των συναλλαγών.

Η Radiant συνεργάζεται με τις αρχές επιβολής του νόμου των ΗΠΑ, την Mandiant και την zeroShadow για να παγώσει κλοπιμαία περιουσιακά στοιχεία. Το DAO παραμένει δεσμευμένο στην υποστήριξη των προσπαθειών ανάκτησης και την ανταλλαγή εμπειριών για τη βελτίωση των επαγγελματικών προτύπων ασφάλειας σε επίπεδο κλάδου.