ハッカー達、マルウェアでレイディアント・キャピタルを悪用、強盗で5千万ドル奪われる

Radiant Capitalのエンジニアに送られたマルウェアが含まれたPDFを通じて、北朝鮮のハッカーが5000万ドル以上を盗み出すことができました。

最近の追跡報告によると、RadiantはMandiantの協力を得て、さらに詳細な情報を明らかにしました。2024年9月11日、Radiantの開発者は、なりすましの元請負業者からTelegramのメッセージを受け取りました。

そのメッセージは、元請け業者からのものだとされ、ZIP化されたPDFへのリンクが含まれていました。新しいスマートコントラクトの監査プロジェクトに関連しているとされるその文書は、専門的なフィードバックを求めていました。

ZIPファイルに関連付けられたドメインは、請け業者の正規のウェブサイトを見事に模倣しており、その要求は専門的なサークルでは日常的なものでした。開発者は法的なレビューや技術的な監査などのタスクのために頻繁にPDFを交換しますので、初期の疑念は軽減されました。

情報源を信じ、受信者は同僚とファイルを共有し、知らず知らずのうちにサイバー犯罪の舞台を整えてしまいました。

Radiantチームには知られていなかったのですが、そのZIPファイルは、「正規」のドキュメントに擬態した高度なmacOSマルウェア、INLETDRIFTを内包していました。一度活動を開始すると、このマルウェアは悪意のあるAppleScriptを用いて持続的なバックドアを確立します。

そのマルウェアの設計は高度で、ユーザーには説得力のあるPDFを表示しながら、バックグラウンドでこっそりと動作していました。

厳格なサイバーセキュリティの実践――取引シミュレーション、ペイロード検証、業界標準の運用手順（SOPs）の遵守を含む――にもかかわらず、Radiantはマルウェアによって複数の開発者デバイスが侵入・侵害されるという結果に繋がりました。

攻撃者たちはブラインド署名と偽装されたフロントエンドインターフェースを利用し、悪意のある活動を覆い隠すために無害なトランザクションデータを表示しました。その結果、詐欺的な取引が検出されることなく実行されました。

強奪の準備として、攻撃者たちはArbitrum、Binance Smart Chain、Base、Ethereumを含む複数のプラットフォームに悪意のあるスマートコントラクトを仕掛けました。盗みのわずか3分後、彼らは自身のバックドアとブラウザ拡張の痕跡を消し去りました。

強盗事件は精密に実行されました：盗まれた資金を転送したちょうど3分後、攻撃者たちは自分たちのバックドアと関連するブラウザ拡張機能の痕跡を消去し、これにより鑑識分析がさらに複雑化しました。

Mandiantは、この攻撃をUNC4736（別名AppleJeusまたはCitrine Sleet）という、北朝鮮の偵察総局（RGB）と関連のあるグループに帰属させています。この事件は、ブラインド署名とフロントエンドの検証に存在する脆弱性を浮き彫りにし、取引ペイロードを検証するためのハードウェアレベルの解決策が急務であることを強調しています。

Radiantは、米国の法執行機関、Mandiant、およびzeroShadowと協力して盗まれた資産の凍結に取り組んでいます。DAOは引き続き回収支援活動を支持し、業界全体のセキュリティ基準を改善するための洞察を共有することに専念しています。