黑客利用恶意软件攻击瑞丹资本，盗窃5000万美元

一份携带恶意软件的PDF文件被发送到Radiant Capital的工程师那里，使得朝鲜黑客得以窃取超过5000万美元。

在最近的后续报告中，Radiant在Mandiant的协助下揭示了更多详细信息。2024年9月11日，一位Radiant的开发者收到了一条由冒充前承包商的人发送的Telegram信息。

这个消息据称来自一位前承包商，其中包含一个指向压缩PDF的链接。该文件据称与一个新的智能合约审计项目有关，寻求专业反馈。

与ZIP文件相关联的域名成功地模仿了承包商的合法网站，且这个请求在专业圈子里看起来很常规。开发人员经常交换PDF以执行诸如法律审查或技术审计之类的任务，从而减少了最初的怀疑。

信任来源，接收者与同事分享了这个文件，无意间为网络盗窃做好了准备。

光辉团队并不知道，这个ZIP文件中藏有INLETDRIFT，一种高级的macOS恶意软件，它被伪装在”合法”文档中。一旦激活，该恶意软件使用恶意AppleScript建立了一个持久的后门。

这款恶意软件的设计非常精细，可以在用户的屏幕上呈现一份令人信服的PDF文件，同时在后台悄无声息地运行。

尽管Radiant公司严格执行了一系列的网络安全实践，包括交易模拟、负载验证，以及遵守行业标准的操作程序(SOPs)，但这款恶意软件仍成功渗透并破坏了多个开发人员的设备。

攻击者利用盲签名和伪造的前端界面，展示良性的交易数据来掩盖恶意活动。结果，欺诈交易在未被发现的情况下执行。

为了准备这次盗窃，攻击者在多个平台上部署了恶意的智能合约，包括Arbitrum、币安智能链、Base和以太坊。在盗窃后仅三分钟，他们就删除了他们的后门和浏览器扩展的痕迹。

这次抢劫行动执行得非常精准：在转移被盗资金的三分钟后，攻击者就消除了他们的后门和相关浏览器扩展的痕迹，进一步增加了取证分析的复杂性。

Mandiant将此次攻击归咎于UNC4736，也被称为AppleJeus或Citrine Sleet，这是一个与朝鲜侦查总局（RGB）有关的团体。这次事件突显了盲签名和前端验证的漏洞，强调了验证交易有效负载的硬件级解决方案的迫切需求。

Radiant正在与美国执法机构、Mandiant以及zeroShadow合作，冻结被盗资产。DAO始终致力于支持恢复工作，并分享见解以提高整个行业的安全标准。