Hacker Nutzen Radiant Capital Aus Mit Malware, $50M Bei Raubzug Gestohlen

Ein mit Malware verseuchtes PDF, das an die Ingenieure von Radiant Capital gesendet wurde, ermöglichte es nordkoreanischen Hackern, über 50 Millionen Dollar zu stehlen.

In einem kürzlichen Nachfolgebericht über den Vorfall enthüllte Radiant mit Unterstützung von Mandiant weitere Details. Am 11. September 2024 erhielt ein Entwickler von Radiant eine Telegram-Nachricht von einem sich als ehemaliger Auftragnehmer ausgebenden Betrüger.

Die Nachricht, angeblich von einem ehemaligen Auftragnehmer, enthielt einen Link zu einer gezippten PDF. Angeblich bezüglich eines neuen Projekts zur Prüfung von Smart Contracts, suchte das Dokument professionelles Feedback.

Die mit der ZIP-Datei verbundene Domain ahmte überzeugend die legitime Website des Auftragnehmers nach, und die Anfrage erschien in professionellen Kreisen routinemäßig. Entwickler tauschen häufig PDFs für Aufgaben wie rechtliche Überprüfungen oder technische Audits aus, was den anfänglichen Verdacht reduziert.

Vertrauend auf die Quelle teilte der Empfänger die Datei mit Kollegen und bereitete so unwissentlich die Bühne für den Cyber-Raub vor.

Ohne das Wissen des Radiant-Teams enthielt die ZIP-Datei INLETDRIFT, eine fortschrittliche macOS-Malware, die innerhalb des „legitimen“ Dokuments getarnt war. Einmal aktiviert, etablierte die Malware eine beständige Hintertür mit Hilfe eines bösartigen AppleScripts.

Das Design der Malware war ausgeklügelt und zeigte den Nutzern eine überzeugende PDF, während sie im Hintergrund unauffällig arbeitete.

Trotz der rigorosen Cybersicherheitspraktiken von Radiant – einschließlich Transaktionssimulationen, Payload-Verifizierung und Einhaltung von branchenüblichen Betriebsverfahren (SOPs) – konnte die Malware erfolgreich mehrere Entwicklergeräte infiltrieren und kompromittieren.

Die Angreifer nutzten blindes Signieren und gefälschte Frontend-Schnittstellen aus, um schädliche Aktivitäten durch die Anzeige harmloser Transaktionsdaten zu verschleiern. Infolgedessen wurden betrügerische Transaktionen ohne Erkennung ausgeführt.

Zur Vorbereitung des Raubzuges platzierten die Angreifer schädliche Smart Contracts auf mehreren Plattformen, darunter Arbitrum, Binance Smart Chain, Base und Ethereum. Nur drei Minuten nach dem Diebstahl löschten sie alle Spuren ihrer Hintertür und Browser-Erweiterungen.

Der Raubüberfall wurde mit Präzision ausgeführt: Nur drei Minuten nach der Überweisung der gestohlenen Gelder löschten die Angreifer Spuren ihrer Hintertür und zugehöriger Browsererweiterungen, was die forensische Analyse weiter erschwerte.

Mandiant führt den Angriff auf UNC4736 zurück, auch bekannt als AppleJeus oder Citrine Sleet, eine Gruppe, die mit dem nordkoreanischen Aufklärungs-Generalbüro (RGB) in Verbindung steht. Dieser Vorfall unterstreicht die Schwachstellen bei Blind-Signaturen und Front-End-Verifizierungen und betont die dringende Notwendigkeit von Hardware-Level-Lösungen zur Validierung von Transaktionsdaten.

Radiant arbeitet mit der US-Strafverfolgung, Mandiant und ZeroShadow zusammen, um gestohlene Vermögenswerte einzufrieren. Das DAO bleibt dem Unterstützen von Wiederherstellungsbemühungen und dem Teilen von Erkenntnissen zur Verbesserung der branchenweiten Sicherheitsstandards verpflichtet.