Radiant Capital 表示,朝鲜APT组织是 10 月 16 日通过网络攻击侵入其系统并导致 5000 万美元加密货币被盗的幕后黑手。
在 Mandiant 网络安全专家的协助下,对该事件进行了调查,并最终确定了攻击原因,他们表示,此次攻击是由朝鲜黑客组织 Citrine Sleet(又名“UNC4736”和“AppleJeus”)发起的。
Radiant 是一个去中心化金融 (DeFi) 平台,允许用户跨多个区块链网络存入、借入和管理加密货币。
该平台通过 Arbitrum Layer 2 扩展系统利用以太坊区块链安全性,并在社区驱动的系统下运行,使用户能够通过 RDNT 储物柜参与治理、提交提案并对积极举措进行投票。
2024 年 10 月 16 日,Radiant宣布其遭受入侵,事件导致5000万美元加密货币被盗。此次入侵是由“复杂的恶意软件”造成的,该恶意软件针对三名值得信赖的开发人员,他们的设备受到攻击以执行未经授权的交易。
黑客似乎利用了常规的多重签名流程,以交易错误的名义收集有效签名,并从 Arbitrum 和币安智能链 (BSC) 市场窃取资金。
此次攻击绕过了硬件钱包安全和多层验证,交易在手动和模拟检查中看起来都很正常,表明攻击非常复杂。
矛头指向朝鲜黑客组织
在 Mandiant 的协助下对此次攻击进行内部调查后,Radiant 现在可以分享有关所使用的恶意软件及其背后犯罪者的更多信息。
攻击始于 2024 年 9 月 11 日,当时 Radiant 的一名开发人员收到一条冒充前承包商的 Telegram 消息,诱骗他们下载恶意 ZIP 文件。
该档案包含一个用作诱饵的 PDF 文件和一个名为“InletDrift”的 macOS 恶意软件负载,它在受感染的设备上建立了后门。
攻击中使用的诱饵 PDF 文件,来源:Radiant
Radiant 表示,此次攻击设计精良,执行完美,绕过了所有现有的安全措施。
Radiant 解释说:“这种欺骗行为进行得如此天衣无缝,即使采用 Radiant 的标准最佳实践,例如在 Tenderly 中模拟交易、验证有效载荷数据以及在每一步遵循行业标准 SOP,攻击者仍然能够入侵多个开发者设备。”
“前端界面显示良性交易数据,而恶意交易则在后台签名。传统的检查和模拟没有显示出明显的差异,使得威胁在正常审查阶段几乎不可见。”
Mandiant 高度确信,此次攻击是由 UNC4736 发起的,该威胁组织今年早些时候因利用Google Chrome0day漏洞而被曝光。
鉴于其安全措施被成功绕过,Radiant强调需要更强大的设备级解决方案来增强交易安全性。
至于被盗资金,该平台表示正在与美国执法部门和zeroShadow合作,追回尽可能多的资金。
转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/nuVGbUTwHYT2qE4vywO9ig
封面来源于网络,如有侵权请联系删除
