سرقت ۵۰ میلیون دلاری هکرهای کره شمالی از Radiant Capital با یک PDF آلوده

هک ۵۰ میلیون دلاری Radiant Capital توسط عوامل کره شمالی

یک گزارش جدید از Radiant Capital ادعا می‌کند که یک هکر تحت حمایت دولت کره شمالی پشت هک ۵۰ میلیون دلاری این پروتکل بوده است. به گفته این گزارش که به یافته‌های شرکت امنیت سایبری Mandiant استناد می‌کند، مهاجم با جعل هویت یک «پیمانکار سابق مورد اعتماد» Radiant Capital، از طریق یک فایل «PDF فشرده‌شده» که در پلتفرم پیام‌رسان تلگرام به اشتراک گذاشته شده بود، بدافزار را توزیع کرده است.

به گفته Radiant Capital، این فایل از یک «عامل تهدید مرتبط با کره شمالی» که گمان می‌رود UNC4736 باشد (که به نام Citrine Sleet نیز شناخته می‌شود و طراحان بدافزار AppleJeus هستند) منشأ گرفته است. مهاجم با استفاده از رابطه قبلی این پیمانکار با تیم Radiant، یک فریب قانع‌کننده ایجاد کرد و با جعل دامنه معتبر پیمانکار، یک پیام تلگرامی ارسال کرد که در آن درخواست بازخورد در مورد یک پروژه جدید مرتبط با حسابرسی قراردادهای هوشمند شده بود.

گزارش اشاره می‌کند که «درخواست‌های بررسی PDF در محیط‌های حرفه‌ای معمول هستند و وکلا، حسابرسان قراردادهای هوشمند و شرکا به طور مکرر اسناد را به این فرمت به اشتراک می‌گذارند» و افزود که این پیام هیچ شکی ایجاد نکرد و در نتیجه برای بازخورد با سایر توسعه‌دهندگان به اشتراک گذاشته شد.

فایل فشرده که به نظر می‌رسید یک گزارش پس از حادثه از هک Penpie باشد، در واقع حاوی بدافزار INLETDRIFT بود که یک در پشتی macOS ایجاد کرد و به عامل تهدید اجازه داد تا کیف پول‌های سخت‌افزاری حداقل سه توسعه‌دهنده Radiant را به خطر بیندازد.

در طول حمله ۱۶ اکتبر، بدافزار رابط کاربری Safe{Wallet} (که قبلاً به نام Gnosis Safe شناخته می‌شد) را دستکاری کرد و در حالی که داده‌های تراکنش‌های قانونی را به توسعه‌دهندگان نمایش می‌داد، تراکنش‌های مخرب را در پس‌زمینه اجرا کرد. Radiant اشاره کرد که با وجود پایبندی دقیق به بهترین شیوه‌ها مانند شبیه‌سازی‌های Tenderly، تأیید بار تراکنش و رویه‌های استاندارد صنعتی، مهاجمان موفق به نفوذ به چندین دستگاه توسعه‌دهنده شدند.

گزارش اضافه کرد: «Mandiant با اطمینان بالا ارزیابی می‌کند که این حمله به یک عامل تهدید مرتبط با جمهوری دموکراتیک خلق کره (DPRK) نسبت داده می‌شود.» UNC4736 به اداره کل شناسایی کره شمالی مرتبط است و به هدف قرار دادن شرکت‌های متمرکز بر ارزهای دیجیتال معروف است.

همان‌طور که قبلاً توسط crypto.news گزارش شده بود، این گروه اوایل امسال با بهره‌برداری از یک آسیب‌پذیری روز صفر در مرورگر Chromium، مؤسسات مالی کریپتو را هدف قرار داد تا امنیت مرورگر را دور بزند و کد مخرب را در محیط ایزوله مرورگر اجرا کند. در سپتامبر، اداره تحقیقات فدرال نسبت به تاکتیک‌های پیچیده فزاینده هکرهای کره شمالی هشدار داد و اشاره کرد که آنها به هدف قرار دادن افراد مرتبط با صندوق‌های قابل معامله در بورس کریپتو علاقه‌مند شده‌اند.

یک گزارش اخیر از محققان در کنفرانس امنیت سایبری Cyberwarcon نشان داد که هکرهای کره شمالی تنها در شش ماه بیش از ۱۰ میلیون دلار را با نفوذ به شرکت‌های برجسته به عنوان کارگران فناوری اطلاعات و سایر کارکنان به سرقت برده‌اند. حدود ۳ میلیارد دلار که توسط این گروه‌های هکری تحت حمایت دولت از بخش کریپتو بین سال‌های ۲۰۱۷ تا ۲۰۲۳ سرقت شده است، ظاهراً برای تأمین مالی برنامه تسلیحات هسته‌ای کره شمالی استفاده می‌شود.