القراصنة يستغلون “Radiant Capital” بواسطة البرمجيات الخبيثة، وقد سُرق 50 مليون دولار في عملية سطو

أتاح ملف PDF المملوء بالبرمجيات الخبيثة للمهندسين في راديانت كابيتال للقراصنة الكوريين الشماليين سرقة أكثر من 50 مليون دولار.

في تقرير متابعة حديث عن الخرق، كشفت Radiant بمساعدة من Mandiant تفاصيل أخرى. في الحادي عشر من سبتمبر 2024، تلقى مطور في Radiant رسالة عبر التيليجرام من شخص يتظاهر بأنه متعاقد سابق.

الرسالة، التي يُزعم أنها من مُتعاقد سابق، تضمنت رابطًا إلى ملف PDF مضغوط. ترتبط بدعوى بمشروع جديد لمراجعة العقود الذكية، حيث كان الوثيقة تبحث عن رأي مهني.

كانت النطاق المرتبط بالملف المضغوط يحاكي بشكل مقنع موقع المتعاقد الشرعي، وبدا الطلب روتينيًا في الأوساط المهنية. يتبادل المطورون بشكل متكرر ملفات PDF للمهام مثل المراجعات القانونية أو المراجعات التقنية، مما يقلل من الشك الأولي.

ثقت في المصدر، قامت المستقبلة بمشاركة الملف مع زملائها، مما أعد بشكل غير مقصود الساحة للسرقة الإلكترونية.

دون علم فريق Radiant، كان الملف المضغوط ZIP يحتوي على INLETDRIFT، وهو برنامج ضار متقدم لنظام التشغيل macOS متنكر ضمن الوثيقة “المشروعة”. بمجرد تنشيطه، أنشأ البرنامج الضار بابًا خلفيًا مستمرًا، باستخدام AppleScript الخبيث.

كان تصميم البرمجة الخبيثة متطورًا، حيث عرض ملف PDF مقنع للمستخدمين في حين كان يعمل بشكل خفي في الخلفية.

على الرغم من الممارسات الأمنية الصارمة لـ Radiant – بما في ذلك محاكاة العمليات، والتحقق من صحة الحمولة، والالتزام بإجراءات التشغيل القياسية في الصناعة (SOPs) – إلا أن البرمجة الخبيثة تمكنت من التسلل والتأثير بشكل ضار على أجهزة المطورين المتعددة.

استغل المهاجمون التوقيع العشوائي وواجهات الواجهة الأمامية المزيفة، حيث عرضوا بيانات المعاملات الخفيفة لتمويه نشاطاتهم الخبيثة. ونتيجة لذلك، تم تنفيذ المعاملات الاحتيالية دون الكشف عنها.

استعداداً للسرقة، نشر المهاجمون عقود ذكية خبيثة عبر منصات متعددة، بما في ذلك Arbitrum، Binance Smart Chain، Base، و Ethereum. بعد ثلاث دقائق فقط من السرقة، محوا أثار بابهم الخلفي وملحقات المتصفح.

تم تنفيذ السرقة بدقة: بعد ثلاث دقائق فقط من نقل الأموال المسروقة، مسح المهاجمون آثار بابهم الخلفي والإضافات المرتبطة بالمتصفح، مما يعقد بشكل إضافي التحليل الجنائي.

تعزو Mandiant الهجوم إلى UNC4736، المعروف أيضًا باسم AppleJeus أو Citrine Sleet، وهي مجموعة مرتبطة بمكتب الاستطلاع العام (RGB) في كوريا الشمالية. يسلط هذا الحادث الضوء على ضعف في التوقيع الأعمى والتحققات من الواجهة الأمامية، مشدداً على الحاجة الملحة لحلول على مستوى الأجهزة للتحقق من صحة حمولات المعاملات.

تتعاون شركة راديانت مع الشرطة الأمريكية ومانديانت وزيروشادو لتجميد الأصول المسروقة. لا تزال الـ DAO ملتزمة بدعم جهود الاستعادة ومشاركة الرؤى لتحسين معايير الأمان في الصناعة بشكل عام.