Kẻ hack tận dụng Radiant Capital bằng Malware, 50 triệu đô la bị đánh cắp trong vụ cướp

Một tệp PDF đậm đặc mã độc được gửi đến các kỹ sư của Radiant Capital đã giúp các hacker từ Triều Tiên đánh cắp hơn 50 triệu đô la.

Trong một báo cáo tiếp theo gần đây về vụ việc, Radiant với sự hỗ trợ của Mandiant đã tiết lộ thêm chi tiết. Vào ngày 11 tháng 9 năm 2024, một nhà phát triển của Radiant đã nhận được một tin nhắn Telegram từ một người thợ tự do đã bị giả mạo trước đó.

Tin nhắn, được cho là từ một nhà thầu cũ, bao gồm một liên kết đến một tệp PDF nén. Có liên quan đến một dự án kiểm toán hợp đồng thông minh mới, tài liệu này tìm kiếm phản hồi từ chuyên gia.

Tên miền liên quan đến tệp ZIP mô phỏng một cách thuyết phục trang web hợp pháp của nhà thầu, và yêu cầu xuất hiện bình thường trong các vòng chuyên nghiệp. Các nhà phát triển thường xuyên trao đổi các tệp PDF cho các nhiệm vụ như đánh giá pháp lý hoặc kiểm toán kỹ thuật, giảm nghi ngờ ban đầu.

Tin tưởng vào nguồn gốc, người nhận đã chia sẻ tệp tin với đồng nghiệp, không hề biết rằng mình đã vô tình chuẩn bị sẵn sàng cho một cuộc đánh cắp dữ liệu trên mạng.

Mà nhóm Radiant chẳng hề hay biết, tệp ZIP chứa INLETDRIFT, một loại mã độc macOS tiên tiến được ngụy trang bên trong tài liệu “hợp lệ”. Một khi được kích hoạt, mã độc đã thiết lập một lối vào hậu cửa kiên trì, sử dụng một AppleScript độc hại.

Thiết kế của phần mềm độc hại rất tinh vi, hiển thị một PDF thuyết phục cho người dùng trong khi vẫn hoạt động lén lút ở phía sau.

Mặc dù Radiant có những thực hành an ninh mạng nghiêm ngặt – bao gồm mô phỏng giao dịch, xác minh payload và tuân thủ các quy trình vận hành tiêu chuẩn của ngành (SOPs) – phần mềm độc hại đã thành công xâm nhập và làm tổn hại nhiều thiết bị của lập trình viên.

Những kẻ tấn công đã tận dụng việc ký mù và giả mạo giao diện trước để hiển thị dữ liệu giao dịch lành tính nhằm che đậy các hoạt động độc hại. Kết quả là, các giao dịch gian lận đã được thực hiện mà không bị phát hiện.

Để chuẩn bị cho vụ cướp, những kẻ tấn công đã triển khai các hợp đồng thông minh độc hại trên nhiều nền tảng, bao gồm Arbitrum, Binance Smart Chain, Base và Ethereum. Chỉ ba phút sau vụ trộm, họ đã xóa dấu vết của cửa hậu và tiện ích mở rộng trình duyệt của mình.

Vụ cướp đã được thực hiện với độ chính xác cao: chỉ ba phút sau khi chuyển khoản số tiền bị đánh cắp, những kẻ tấn công đã xóa dấu vết của backdoor của họ và các tiện ích mở rộng trình duyệt liên quan, làm cho việc phân tích pháp y trở nên phức tạp hơn.

Mandiant cho rằng cuộc tấn công này do UNC4736 thực hiện, còn được biết đến với tên gọi AppleJeus hoặc Citrine Sleet, một nhóm có liên kết với Cơ quan Tình báo Tổng hợp (RGB) của Bắc Triều Tiên. Sự cố này nêu bật những điểm yếu trong việc ký kết mù và xác minh ở mặt trước, nhấn mạnh tầm quan trọng cần thiết của giải pháp ở cấp độ phần cứng để xác thực gói giao dịch.

Radiant đang hợp tác với lực lượng thi hành pháp luật của Mỹ, Mandiant, và zeroShadow để đóng băng tài sản bị đánh cắp. The DAO vẫn cam kết hỗ trợ các nỗ lực phục hồi và chia sẻ hiểu biết để cải thiện tiêu chuẩn bảo mật toàn ngành.