هکرهای مرتبط با DPRK به روش مهندسی اجتماعی 50 میلیون دلار از Radiant Capital را مورد سوءاستفاده قرار دادند: گزارش

یک گزارش جدید پس از حادثه از Radiant Capital ادعا می‌کند که یک هکر مرتبط با دولت شمال کره مسئول سرقت 50 میلیون دلاری از پروتکل بوده است.

مهاجم خود را به عنوان یک "پیمانکار سابق مورد اعتماد" Radiant Capital معرفی کرد تا بدافزاری را از طریق یک فایل "PDF فشرده‌شده" که در بستر پیام‌رسان تلگرام به اشتراک گذاشته شده بود، مستقر کند. این گزارش به یافته‌های شرکت امنیت سایبری Mandiant اشاره کرده است.

بر اساس اطلاعات Radiant Capital، این فایل از یک "عامل تهدید مرتبط با DPRK" که باور بر این است که UNC4736 نام دارد، به دست آمده است و به عنوان طراح بدافزار AppleJeus شناخته می‌شود.

با استفاده از رابطه قبلی پیمانکار با تیم Radiant، مهاجم یک تاکتیک قانع‌کننده طراحی کرد و دامنه قانونی پیمانکار را جعل کرده و پیامی در تلگرام ارسال کرد که در آن از دریافت بازخورد درباره یک پروژه جدید مربوط به بررسی قراردادهای هوشمند درخواست کرده بود.

“درخواست‌ها برای بررسی PDF در محیط‌های حرفه‌ای رایج است — وکلا، بازرس‌های قراردادهای هوشمند و شرکا به‌طور مکرر مدارک را در این فرمت به اشتراک می‌گذارند.” گزارش همچنین اضافه کرد که این پیام هیچ شکی ایجاد نکرد و در نتیجه با سایر توسعه‌دهندگان برای دریافت بازخورد به اشتراک گذاشته شد.

فایل فشرده، که به نظر می‌رسید گزارشی پس از حادثه از بهره‌برداری Penpie باشد، در واقع حاوی بدافزار INLETDRIFT بود که یک درب پشتی macOS ایجاد کرد و به عامل تهدید اجازه داد تا کیف پول‌های سخت‌افزاری حداقل سه توسعه‌دهنده Radiant را به خطر بیندازد.

در طول حمله 16 اکتبر، این بدافزار رابط کاربری Safe{Wallet} (که قبلاً به عنوان Gnosis Safe شناخته می‌شد) را دستکاری کرد و داده‌های معاملاتی قانونی را برای توسعه‌دهندگان نمایش داد در حالی که معاملات مخرب در پس‌زمینه اجرا می‌شد.

Radiant ذکر کرد که با وجود رعایت سختگیرانه رویه‌های بهترین عمل مانند شبیه‌سازی‌های Tenderly، تأیید payload و SOPهای استاندارد صنعت، مهاجمان موفق به نفوذ به چندین دستگاه توسعه‌دهنده شدند.

“Mandiant با اطمینان بالا ارزیابی می‌کند که این حمله به یک عامل تهدید مرتبط با جمهوری دموکراتیک خلق کره (DPRK) نسبت داده می‌شود,” گزارش افزود.

هکرهای شمال کره میلیاردها دارایی در ارزهای دیجیتال سرقت کردند

UNC4736 باور بر این است که با اداره عمومی شناسایی جمهوری دموکراتیک خلق کره ارتباط دارد و به targeting شرکت‌های مرتبط با ارز دیجیتال معروف است.

همانطور که قبلاً در crypto.news گزارش شده است، این گروه اوایل امسال، به موسسات مالی ارز دیجیتال حمله کرد و از یک آسیب‌پذیری صفر روزه در مرورگر Chromium برای دور زدن امنیت مرورگر و اجرای کد مخرب در محیط sandbox مرورگر استفاده کرد.

در سپتامبر، اداره تحقیقات فدرال درباره تاکتیک‌های به‌طور فزاینده‌ای پیچیده‌ای که توسط هکرهای شمال کره استفاده می‌شود، هشدار داد و اشاره کرد که آن‌ها تمایل به هدف قرار دادن افرادی دارند که به صندوق‌های قابل معامله در بورس ارز دیجیتال مرتبط هستند.

گزارش اخیرتری از محققان در کنفرانس امنیت سایبری Cyberwarcon نشان داد که هکرهای شمال کره موفق شده‌اند در تنها شش ماه بیش از 10 میلیون دلار به سرقت برند با نفوذ به شرکت‌های برجسته به عنوان کارمندان IT و سایر کارکنان.

تقریباً 3 میلیارد دلار سرقت شده از بخش ارز دیجیتال توسط این گروه‌های هکری پشتیبانی شده توسط دولت بین سال‌های 2017 و 2023 به ادعای تأمین مالی برنامه تسلیحات هسته‌ای کره شمالی استفاده می‌شود.