Hackers Buitelen Radiant Capital Uit met Malware, $50M Gestolen in Overval

Een met malware besmette PDF die naar ingenieurs van Radiant Capital werd gestuurd, stelde Noord-Koreaanse hackers in staat om meer dan $50 miljoen te stelen.

In een recent vervolgrapport over de inbreuk, onthulden Radiant en Mandiant verdere details. Op 11 september 2024 ontving een ontwikkelaar van Radiant een Telegram-bericht van een geïmiteerde voormalige aannemer.

Het bericht, naar verluidt afkomstig van een voormalige aannemer, bevatte een link naar een ingepakte PDF. Zogenaamd gerelateerd aan een nieuw project voor het auditen van slimme contracten, zocht het document professionele feedback.

Het domein dat geassocieerd werd met het ZIP-bestand bootste overtuigend de legitieme website van de aannemer na, en het verzoek leek routine in professionele kringen. Ontwikkelaars wisselen vaak PDF’s uit voor taken zoals juridische beoordelingen of technische audits, wat de initiële verdenking vermindert.

Vertrouwend op de bron, deelde de ontvanger het bestand met collega’s, onbewust het toneel opzettend voor de cyberdiefstal.

Onbekend bij het Radiant team, bevatte het ZIP-bestand INLETDRIFT, een geavanceerde macOS-malware gecamoufleerd binnen het “legitieme” document. Eenmaal geactiveerd, creëerde de malware een permanente achterdeur, gebruikmakend van een kwaadaardig AppleScript.

Het ontwerp van de malware was geavanceerd; het toonde gebruikers een overtuigend PDF-bestand terwijl het onopgemerkt op de achtergrond werkte.

Ondanks de rigoureuze cyberbeveiligingspraktijken van Radiant – inclusief transactiesimulaties, payload-verificatie en naleving van standaard bedrijfsprocedures (SOP’s) – slaagde de malware erin om verschillende apparaten van ontwikkelaars binnen te dringen en te compromitteren.

De aanvallers maakten gebruik van blind ondertekenen en vervalste front-end interfaces, waarbij ze onschuldige transactiegegevens toonden om kwaadaardige activiteiten te verbergen. Als gevolg hiervan werden frauduleuze transacties uitgevoerd zonder detectie.

Ter voorbereiding op de overval, plaatsten de aanvallers kwaadaardige slimme contracten op meerdere platformen, waaronder Arbitrum, Binance Smart Chain, Base en Ethereum. Slechts drie minuten na de diefstal wisten ze sporen van hun achterdeur en browserextensies.

De overval werd met precisie uitgevoerd: slechts drie minuten na het overzetten van de gestolen fondsen, wisten de aanvallers sporen van hun achterdeur en bijbehorende browserextensies, wat de forensische analyse verder bemoeilijkte.

Mandiant schrijft de aanval toe aan UNC4736, ook bekend als AppleJeus of Citrine Sleet, een groep gelinkt aan het Noord-Koreaanse Verkennings Algemeen Bureau (RGB). Dit incident benadrukt de kwetsbaarheden in blind ondertekenen en front-end verificaties, en benadrukt de dringende noodzaak van hardware-niveau oplossingen om transactiepayloads te valideren.

Radiant werkt samen met de Amerikaanse wetshandhaving, Mandiant en zeroShadow om gestolen activa te bevriezen. De DAO blijft zich inzetten om herstelinspanningen te ondersteunen en inzichten te delen om de beveiligingsnormen in de hele industrie te verbeteren.