Hackerlar, Zararlı Yazılımla Radiant Capital’ı Sömürüyor, Soygunla 50 Milyon Dolar Çalındı

Radiant Capital mühendislerine gönderilen kötü amaçlı yazılım dolu bir PDF, Kuzey Koreli hackerların 50 milyon dolardan fazla çalmalarını sağladı.

Radiant’ın Mandiant tarafından desteklenerek hazırladığı son takip raporunda olayla ilgili daha fazla detay ortaya çıktı. 11 Eylül 2024’te, bir Radiant geliştiricisi, kimliği taklit edilmiş eski bir taşeron tarafından Telegram mesajı aldı.

İddiaya göre eski bir yükleniciden gelen mesaj, sıkıştırılmış bir PDF’ye link içeriyordu. İddiaya göre yeni bir akıllı sözleşme denetim projesi ile ilgili olan belge, profesyonel geri bildirim arıyordu.

ZIP dosyası ile ilişkilendirilen domain, yüklenicinin meşru web sitesini ikna edici bir şekilde taklit etti ve talep profesyonel çevrelerde rutin görünüyordu. Geliştiriciler sıklıkla hukuki incelemeler veya teknik denetimler gibi görevler için PDF’ler paylaşırlar, bu da başlangıçtaki şüpheleri azaltır.

Kaynağa güvenerek, alıcı dosyayı meslektaşlarıyla paylaştı ve farkında olmadan siber soygun için sahneyi hazırladı.

Radiant ekibinin bilgisi dışında, ZIP dosyası “meşru” belge içerisine kamufle edilmiş ileri düzey bir macOS zararlı yazılımı olan INLETDRIFT’i içeriyordu. Aktif hale geldiğinde, zararlı yazılım, kötü niyetli bir AppleScript kullanarak kalıcı bir arka kapı oluşturdu.

Yazılımın tasarımı oldukça karmaşıktı, kullanıcılara ikna edici bir PDF gösterirken arka planda sessizce çalışıyordu.

Radiant’ın titiz siber güvenlik uygulamalarına rağmen – işlem simülasyonları, yük doğrulama ve endüstri standartlarına uygun işletme prosedürlerini (SOP’lar) içerir – yazılım başarılı bir şekilde birden fazla geliştirici cihazını sızdı ve tehlikeye attı.

Saldırganlar, kötü niyetli faaliyetleri maskelemek için zararsız işlem verilerini gösteren sahte ön uç ara yüzler ve kör imza tekniklerini kullandılar. Sonuç olarak, dolandırıcılık işlemleri tespit edilemeden gerçekleştirildi.

Soygun için hazırlık yaparken, saldırganlar kötü niyetli akıllı kontratları Arbitrum, Binance Smart Chain, Base ve Ethereum dahil olmak üzere birden çok platformda hazırladılar. Hırsızlıktan sadece üç dakika sonra, arka kapıları ve tarayıcı eklentilerinin izlerini sildiler.

Soygun, titizlikle gerçekleştirildi: çalınan fonlar transfer edildikten sadece üç dakika sonra, saldırganlar arka kapılarının ve ilişkili tarayıcı uzantılarının izlerini sildi, bu da adli analizi daha da karmaşık hale getirdi.

Mandiant, saldırıyı UNC4736’ya, ayrıca AppleJeus veya Citrine Sleet olarak da bilinen ve Kuzey Kore’nin İstihbarat Genel Bürosu’na (RGB) bağlı bir gruba atfediyor. Bu olay, kör imzalama ve ön uç doğrulamalarındaki zafiyetleri vurgular ve işlem yüklerini doğrulamak için donanım düzeyinde çözümlere acil ihtiyaç olduğunu belirtir.

Radiant, Amerikan hukuk uygulayıcıları, Mandiant ve zeroShadow ile çalışarak çalınan varlıkları dondurmayı planlıyor. The DAO, iyileştirme çabalarını desteklemeye ve endüstri genelinde güvenlik standartlarını iyileştirmek için bilgileri paylaşmaya devam ediyor.