Radiant Capital tiết lộ vụ tấn công tháng 10 do tin tặc Triều Tiên dàn dựng

Radiant Capital đã tiết lộ rằng vụ tấn công mạng trị giá 50 triệu đô la vào tháng 10 được điều khiển bởi một tác nhân đe dọa có liên hệ với Triều Tiên, sử dụng phần mềm độc hại được phát tán qua Telegram, mạo danh một cựu nhà thầu.

Trong mộtCập nhật ngày 6 tháng 12, Nền tảng này đã chia sẻ những phát hiện từ công ty an ninh mạng Mandiant, trong đó cho rằng vụ tấn công này "có độ tin cậy cao" là do một nhóm có liên hệ với Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) thực hiện.

Sự cố bắt đầu vào ngày 11 tháng 9, khi một nhà phát triển Radiant nhận được tin nhắn Telegram từ một "nhà thầu cũ đáng tin cậy" yêu cầu phản hồi về một dự án.

Tin nhắn bao gồm một tệp zip trông có vẻ bình thường nhưng thực chất lại chứa phần mềm độc hại.

Trong đó nêu rõ:

“Sau khi xem xét, tin nhắn này bị nghi ngờ xuất phát từ một tác nhân đe dọa liên kết với CHDCND Triều Tiên đóng giả là nhà thầu cũ. Tệp ZIP này, khi được chia sẻ để phản hồi giữa các nhà phát triển khác, cuối cùng đã phát tán phần mềm độc hại tạo điều kiện cho cuộc xâm nhập sau đó.”

Đến ngày 16 tháng 10, kẻ tấn công đã giành được quyền kiểm soát một số khóa riêng tư và hợp đồng thông minh, buộcRạng rỡ để dừng thị trường cho vay của mình.

Những kẻ tấn công ngụy trang các giao dịch độc hại bằng cách thao túng giao diện người dùng để hiển thị dữ liệu hợp pháp, trong khi thực hiện các giao dịch chuyển tiền trái phép ở chế độ nền.

Nó nói thêm:

“Các cuộc kiểm tra và mô phỏng truyền thống không cho thấy sự khác biệt rõ ràng, khiến mối đe dọa hầu như vô hình trong các giai đoạn đánh giá thông thường.”

Rạng rỡ chỉ ra:

“Sự lừa dối này được thực hiện một cách trơn tru đến nỗi ngay cả với các biện pháp thực hành tốt nhất theo tiêu chuẩn của Radiant, chẳng hạn như mô phỏng giao dịch trong Tenderly, xác minh dữ liệu tải trọng và tuân thủ các SOP theo tiêu chuẩn công nghiệp ở mọi bước, thì những kẻ tấn công vẫn có thể xâm phạm nhiều thiết bị của nhà phát triển.”

Thực thể chịu trách nhiệm, được gọi là "UNC4736" hoặc "Citrine Sleet", có liên hệ với Tổng cục Tình báo Triều Tiên và có thể hoạt động như một nhóm nhỏ của Nhóm Lazarus khét tiếng.

Những kẻ tấn công đã chuyển khoảng 52 triệu đô la tiền đánh cắp cho đến ngày 24 tháng 10.

Bắc Triều Tiên Các nhóm tin tặc từ lâu đã nhắm vào các nền tảng tiền điện tử, ước tính đã đánh cắp khoảng 3 tỷ đô la từ năm 2017 đến năm 2023.

Radiant nhấn mạnh rằng tệp zip có vẻ đáng tin cậy do ngữ cảnh chuyên môn của nó và tên miền giả mạo này bắt chước rất sát trang web hợp pháp của nhà thầu, giúp cuộc tấn công vượt qua được sự nghi ngờ ban đầu.

Đã cập nhật:

“Sự cố này chứng minh rằng ngay cả các SOP nghiêm ngặt, ví phần cứng, công cụ mô phỏng như Tenderly và quá trình đánh giá cẩn thận của con người cũng có thể bị các tác nhân đe dọa cực kỳ tiên tiến vượt qua.”